联邦机构警告说，威胁攻击者已经建立并准备部署一些可以接管那些被大量使用的工业控制系统（ICS）设备的工具，这给关键基础设施供应商带来了很大的麻烦，特别是那些能源行业的供应商。

能源部（DoE）、网络安全和基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局在一份联合公告中警告说，某些高级持续性威胁（APT）攻击者已经证明有能力获得对多个工业控制系统（ICS）或监督控制和数据采集（SCADA）设备的全面系统访问权限。

这些机构称，APTs开发的定制工具允许他们在获得对操作技术（OT）网络的访问权限后，进行扫描、破坏和控制那些受影响的设备。他们说，这可能会导致一些恶意攻击行为，包括权限提升，在OT环境中横向移动，以及破坏关键设备的功能。

存在风险的设备有施耐德电气MODICON和MODICON Nano可编程逻辑控制器（PLC），包括（但不限于）TM251、TM241、M258、M238、LMC058和LMC078、OMRON Sysmac NEX PLC以及开放平台通信统一架构（OPC UA）的服务器。

他们说，APTs还可以利用华擎主板驱动程序中的一个已知漏洞，入侵存在于IT或OT环境中的基于Windows的工程工作站。 

这份警告应该得到重视

虽然联邦机构经常会发布关于网络威胁的公告，但安全专家敦促关键基础设施供应商不要轻视这一警告。

Tripwire战略副总裁在给媒体的一封电子邮件中说，不要搞错，这是CISA的一个重要警告，工业组织应该关注这一威胁情报。

他指出，虽然该警报本身关注的是访问特定的ICS设备的工具，但更大的问题是，一旦攻击者获得了立足点，整个工业控制环境就会面临风险。

专家建议，攻击者需要一个最初的立点来获得对相关工业控制系统的访问权限，工业组织应该相应地建立他们的防御设施。

模块部件

这些机构提供了APTs开发的模块化工具的详细信息，他们能够对目标设备进行高度自动化的攻击利用。

他们称这些工具有一个虚拟控制台，其命令界面可以显示目标ICS/SCADA设备的界面。这些机构警告说，这些模块可以与目标设备进行互动，甚至可以使新入门的攻击者轻松使用高难度的攻击方法。

APTs可以利用这些模块进行目标设备的扫描，对设备细节信息进行侦察，向目标设备上传恶意代码，备份或恢复设备内容，以及修改设备参数。

此外，APT攻击者可以使用一个工具来安装和利用华擎主板驱动程序AsrDrv103.sys中的一个漏洞，该漏洞被追踪为CVE-2020-15368。并且该漏洞允许攻击者在Windows内核中执行恶意代码，促进攻击者在IT或OT环境的横向移动攻击以及加强针对关键设备或功能的破坏性。

针对特定的设备进行攻击

攻击者也可以用一个特定的模块来攻击其他ICS设备。施耐德电气的模块也可以通过正常的管理协议以及Modbus（TCP 502）与设备进行互动。

该模块可能会允许攻击者执行各种恶意攻击，包括进行快速扫描来识别本地网络上的所有施耐德PLC、刷新PLC密码、共同进行拒绝服务（DoS）攻击阻止PLC接收网络通信、进行 "死亡数据包 "攻击来使得PLC崩溃等等。

这些机构说，APT工具中的其他模块还针对欧姆龙设备进行攻击。可以在网络上扫描它们，并执行其他的破坏性功能。

此外，欧姆龙模块还可以上传一个代理，允许攻击者通过HTTP或安全超文本传输协议（HTTPS）连接并启动命令，实现文件操作、数据包捕获和代码执行等功能。

最后，这些机构警告说，这个允许破坏OPC UA设备的模块包括了识别OPC UA服务器的基本功能，并使用默认的或先前被破坏的凭证连接到OPC UA服务器。

建议的缓解措施

这些机构为关键基础设施供应商提供了一个缓解措施清单，避免他们的系统被APT工具破坏。

Tripwire的Erwin指出，这不仅仅是打一个补丁那么简单。在这份清单中，他提到了需要隔离受影响的系统，采用端点检测、配置和完整性监测、以及日志分析等方法，组织应立即采取行动保护其系统的安全。

联邦政府还建议关键基础设施供应商制定网络事件响应计划，让IT、网络安全和运营方面的所有利益相关者都知道，并在必要时迅速采取行动。同时要保持有效的离线备份，以便在发生破坏性攻击时系统能够更快恢复。

参考及来源：https://threatpost.com/feds-apts-critical-infrastructure/179291/