雙鏈攻擊：美國關鍵基礎設施大規(guī)模感染SolarWinds后門

過去一周，業(yè)界對SolarWinds黑客攻擊的關注主要集中在美國聯(lián)邦政府部門，但是根據(jù)工控系統(tǒng)安全公司Dragos的最新報告，SolarWinds惡意軟件還感染了電氣、石油和制造行業(yè)的十多個關鍵基礎設施公司，這些公司也都在運行SolarWinds公司的軟件。

Dragos公司首席執(zhí)行官羅伯·李說，除了關鍵的基礎設施公司之外，SolarWinds軟件還感染了為這些公司提供服務的三家設備制造商。

威力巨大的“雙供應鏈攻擊”

黑客在SolarWinds Orion植入木馬化后門的做法本身屬于軟件供應鏈攻擊，這種攻擊威力巨大，可以“以點帶面”，輻射數(shù)以萬計的政府部門和企業(yè)。而針對美國關鍵基礎設施OEM制造商的攻擊，則屬于產(chǎn)業(yè)供應鏈攻擊，能夠針對性地輻射到OEM供應商的所有客戶(關鍵基礎設施)。這種軟件供應鏈與產(chǎn)業(yè)供應鏈疊加的“雙供應鏈攻擊”，使得SolarWinds惡意軟件成為美國關鍵基礎設施迄今面臨的最嚴峻的網(wǎng)絡安全危機。

關鍵基礎設施的服務公司在業(yè)內(nèi)被稱為原始設備制造商(OEM)。他們往往可以遠程訪問客戶網(wǎng)絡的關鍵部分，擁有能夠更改網(wǎng)絡配置、安裝新軟件甚至控制關鍵操作的特權。這意味著入侵OEM設備供應商的黑客可能會利用獲取帶賬戶憑據(jù)來控制關鍵的客戶流程。

“設備制造商對客戶網(wǎng)絡帶(雙向)訪問，通常用于控制渦輪機之類的敏感設備，可(被黑客)用于破壞行動，”羅伯·李說道?！暗?，黑客僅僅獲取訪問權限并不意味著他知道該做什么或如何做。這并不意味著他們可以關掉電閘。(獲取訪問權)之后，黑客如果想實施破壞還需要做更多的事情?！?/p>

但是，入侵OEM設備制造商確實會放大基礎架構的潛在風險。

國家安全局前關鍵基礎設施威脅情報分析師Lee說：“尤其令人擔憂的是…入侵一個OEM設備制造商，可能會為黑客打開進入數(shù)千個組織的大門。”“例如，受到攻擊的兩家OEM設備制造商可以訪問全球數(shù)百個工控系統(tǒng)網(wǎng)絡。”

Lee指出，在某些情況下，OEM設備制造商不僅有訪問客戶網(wǎng)絡的權限，實際上還直接通過SolarWinds軟件感染了客戶。因為這些設備制造商不僅在自己的網(wǎng)絡上使用SolarWinds，還將其安裝在客戶網(wǎng)絡上以管理和監(jiān)視工控系統(tǒng)網(wǎng)絡，很多客戶甚至對此毫不知情。

SolarWinds在3月遭到入侵，軟件更新被木馬化，攻擊者能夠訪問任何下載這些更新的用戶的網(wǎng)絡。美國政府官員(例如國務卿蓬佩奧)已將這次入侵與俄羅斯聯(lián)系起來。

網(wǎng)絡安全公司FireEye的安全研究人員將這個木馬后門命名為SUNBURST(日爆)。

FireEye首席執(zhí)行官凱文·曼迪亞(Kevin Mandia)表示，攻擊者只進入了被后門感染的數(shù)千個實體中的約50個。

Lee說，關鍵基礎設施領域的感染不僅發(fā)生在公司的IT網(wǎng)絡上，而且有時還發(fā)生在管理關鍵功能的工業(yè)控制系統(tǒng)網(wǎng)絡上。

但是，目前沒有證據(jù)表明黑客利用SolarWinds軟件中的后門來訪問被感染了的15個電力、石油、天然氣和制造企業(yè)。但是Lee指出，如果攻擊者確實訪問并滲透進入了工業(yè)控制系統(tǒng)網(wǎng)絡，人們也很難發(fā)現(xiàn)，因為關鍵基礎架構實體通常不會對其控制系統(tǒng)網(wǎng)絡進行大量的日志記錄和監(jiān)視。

“在這些ICS網(wǎng)絡中，大多數(shù)組織都沒有(足夠的)數(shù)據(jù)和可見性來真正尋找漏洞，”Lee說。“因此，他們可能會確定自己是否受到威脅，但是…幾乎沒有受害企業(yè)有網(wǎng)絡日志可用來確定(他們的網(wǎng)絡中)是否存在后續(xù)攻擊活動?！?/p>

Lee進一步說，所有受感染的企業(yè)“都已假設受到威脅，并在進行必要的威脅搜尋工作”。但是，如果沒有日志記錄，很難跟蹤黑客在網(wǎng)絡中的活動，企業(yè)只能通過一些所謂的惡意行為來判斷是否受到威脅。“這是一個深入地下，難以根除的危險對手?！?/span>

如果黑客使用受感染的OEM設備制造商的憑據(jù)和特權訪問進入，則客戶想要發(fā)現(xiàn)黑客的活動可能更加困難，因為很多流量和活動看起來是合法的。

據(jù)悉，Dragos公司已經(jīng)通知三個被感染的OEM設備制造商，以及有關政府官員和當選總統(tǒng)喬·拜登的新政府。美國國土安全部網(wǎng)絡安全和基礎設施安全局(CISA)上周發(fā)布的警報指出，美國的關鍵基礎設施實體受到SolarWinds木馬化軟件的威脅，但沒有具體指出受影響的行業(yè)，也沒有指出包括關鍵基礎設施的OEM設備供應商。

美國電網(wǎng)上演“烏克蘭大停電”?

這并不是工業(yè)控制系統(tǒng)OEM設備制造商首次遭到黑客入侵。2012年，某國家黑客入侵了一家名為Telvent的OEM設備制造商，竊取了工程圖并訪問了用于對工業(yè)控制系統(tǒng)進行編程的文件。

Telvent是總部位于西班牙的施耐德電氣(Schneider Electric)的一個部門，其軟件已被用于美國和加拿大的石油和天然氣管道以及一些水控制系統(tǒng)網(wǎng)絡。當時，該漏洞引起了人們的關注，即黑客可能已在軟件中嵌入了惡意代碼以感染客戶控制系統(tǒng)。

“當您查看工業(yè)網(wǎng)絡時，許多人仍然認為它們是高度細分(段)的，但這僅意味著對公司的企業(yè)網(wǎng)絡進行了細粒度分段，”Lee說道：“盡管(工控系統(tǒng))與企業(yè)網(wǎng)絡進行了分段隔離，但它們與OEM設備制造商以及與相關的網(wǎng)絡維護、其他相連設備之間卻存在廣泛的連接。”

安全社區(qū)的調(diào)查人員表示，目前還沒有足夠的證據(jù)將SolarWinds供應鏈攻擊歸因于一個特定的黑客組織或國家，但多位美國政府官員(包括當選總統(tǒng)拜登和國務卿蓬佩奧)將這次行動歸因于俄羅斯，盡管他們并未指出是什么導致了這一結論。

負責監(jiān)管美國國家網(wǎng)絡安全計劃的前戰(zhàn)略和國際研究中心官員詹姆斯·劉易斯指出：“政府中有這么多官員(將這些歸因于俄羅斯)，顯然，這不可能是毫無依據(jù)的指控。取證人員正在研究黑客在網(wǎng)絡上留下的痕跡，但這可能不是最佳的溯源方法，政府也在使用其他方法進行歸因和溯源。因此，即便網(wǎng)絡安全專業(yè)取證人員尚未發(fā)現(xiàn)證據(jù)，并不意味著政府情報部門沒有完整的圖片?！?/p>

上周一，俄羅斯政府發(fā)言人德米特里·佩斯科夫(Dmitry Peskov)公開否認對SolarWinds供應鏈攻擊行動負責。隨后在上周六的兩條推文中，特朗普有意淡化了SolarWinds襲擊的嚴重性，并調(diào)轉矛頭將懷疑對象從俄羅斯轉移到了中國。據(jù)美聯(lián)社報道，原本白宮上周五準備發(fā)布聲明正式宣布俄羅斯是攻擊的主使者，但在最后關頭被撤下。

目前，SolarWinds黑客攻擊的范圍仍是未知數(shù)，但到目前為止，已經(jīng)呈報遭受攻擊的組織包括：美國國土安全部、商務部和財政部;至少兩個國家實驗室;聯(lián)邦能源管理委員會;維護國家核武器庫存的美國國家核安全局;微軟、思科和英特爾等科技巨頭也被感染了。

此外，政府機構的許多入侵行為不僅限于SolarWinds惡意軟件感染。參議員羅恩·懷登(Ron Wyden)上周透露，黑客能夠閱讀和竊取美國財政部一些高級官員的電子郵件。

SolarWinds供應鏈攻擊不是普通的間諜活動，黑客對關鍵基礎設施的入侵可制造更大的威脅。而俄羅斯，恰恰是為數(shù)不多的(如果不是唯一的)，具備驗證過的破壞關鍵基礎設施的能力的國家。

2015年，俄羅斯黑客在冬季入侵了幾家烏克蘭配電廠，切斷了23萬名客戶的電源長達6個小時之久。此外，2016年俄羅斯黑客組織在烏克蘭再次實施攻擊，切斷部分客戶供電長達一個小時，還襲擊了管理烏克蘭國家鐵路系統(tǒng)的國家鐵路運輸管理局。這一系列行動讓專家得出一個結論：那就是俄羅斯人正在用烏克蘭作為試驗床，以完善可以在其他國家(例如美國)使用的黑客技術。

上周日，在CNN的“國情咨文”節(jié)目中，參議員羅姆尼指出：“俄羅斯所做的就是建立打擊美國的電力、能源、水利、通信等關鍵基礎設施的能力。”他繼續(xù)說：“這與戰(zhàn)爭時期的攻擊無異，因此非常危險，這是對我們主權的無情羞辱，并且必須得到非常強烈的回應。”

國土安全部的前副部長蘇珊娜·斯波丁則認為，SolarWinds供應鏈攻擊黑客的意圖仍然未知，即使他們?nèi)肭至穗娏?、石油和天然氣行業(yè)的網(wǎng)絡，但這并不意味著他們具備造成破壞的能力。

她說：“但即便如此，黑客仍然可以獲得很多信息…有助于規(guī)劃一次真正的破壞性攻擊?！庇捎赟olarWinds活動中的黑客也入侵了美國聯(lián)邦能源監(jiān)管委員會，因此可以向他們提供有關美國電網(wǎng)中的漏洞和安全措施的信息，以便他們以后可以利用它們進行攻擊。斯波丁提及了2015年俄羅斯對烏克蘭配電廠的黑客攻擊：黑客在工廠網(wǎng)絡中至少進行了六個月的偵察，以了解設備及其工作原理，然后在當年12月制造了大斷電。

Lee則警告說：“雖然其他國家黑客組織例如伊朗也曾入侵美國電網(wǎng)，但這是不同的。如果伊朗入侵關鍵基礎設施的工業(yè)控制系統(tǒng)，只能說它具備破壞的可能性，但你不確定黑客是否具備足夠的(工控系統(tǒng)專業(yè))知識和能力。但是，如果俄羅斯是SolarWinds攻擊的幕后黑手，考慮到俄羅斯已經(jīng)展示了這種破壞能力。因此，我們的問題將不再是能否，而是會否，亦或，何時?”

原文來源：安全牛