微软警告称，针对暴露在互联网的 OT 设备的网络攻击激增

微软强调了保护暴露在互联网上的运营技术 (OT) 设备的必要性，自2023 年底以来，针对此类环境发生了一系列网络攻击。

微软威胁情报团队的报告表示（https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/

）：“针对 OT 设备的反复攻击凸显了改善 OT 设备安全态势的迫切需要，并防止关键系统成为易受攻击的目标。”

该公司指出，对 OT 系统的网络攻击可能允许攻击者篡改工业过程中使用的关键参数，无论是通过可编程逻辑控制器 (PLC) 以编程方式还是使用人机界面 (HMI) 的图形控件，都会导致故障和系统中断。

微软进一步表示，OT 系统通常缺乏足够的安全机制，这使得它们很容易被攻击者利用并发起“相对容易执行”的攻击，而将 OT 设备直接连接到互联网所带来的额外风险则加剧了这一事实。

这不仅使得攻击者可以通过互联网扫描工具发现这些设备，而且还可以利用弱登录密码或具有已知漏洞的过时软件来获取初始访问权限。

上周，罗克韦尔自动化发布了一份咨询报告（https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html），敦促其客户断开所有不打算连接到互联网的工业控制系统 (ICS)，原因是“全球地缘政治紧张局势加剧了对抗性网络攻击活动”。

美国网络安全和基础设施安全局（CISA）也发布公告（https://www.cisa.gov/resources-tools/resources/defending-ot-operations-against-ongoing-pro-russia-hacktivist-activity），警告亲俄黑客将目标对准北美和欧洲易受攻击的工业控制系统。

“具体来说，亲俄黑客分子操纵了 HMI，导致水泵和鼓风机设备超出了正常运行参数。”该机构表示。“在每起案件中，黑客分子都会将设定点调到最大，更改其他设置，关闭警报机制，并更改管理密码以锁定 WWS 操作员。”

攻击者在其 Telegram 频道发布的受害者系统的示例图像

微软进一步表示，2023 年 10 月以色列与哈马斯战争的爆发导致针对以色列公司开发的、暴露在互联网上、安全性较差的 OT 资产的网络攻击激增，其中许多攻击是由与伊朗有关的组织（如Cyber Av3ngers、所罗门士兵和 Abnaa Al-Saada）进行的。

微软表示，这些攻击针对的是部署在以色列不同地区的由国际供应商制造的 OT 设备，以及从以色列采购但部署在其他国家的设备。

这些 OT 设备“是暴露在互联网上的 OT 系统，安全态势较差，可能存在弱密码和已知漏洞”。

为了减轻此类威胁带来的风险，微软建议组织确保其 OT 系统安全，特别是通过减少攻击面和实施零信任实践来防止攻击者在受感染的网络中横向移动。

与此同时，OT 安全公司 Claroty 发现了一种名为 Fuxnet 的破坏性恶意软件（https://claroty.com/team82/research/unpacking-the-blackjack-groups-fuxnet-malware），据称，Blackjack 黑客组织利用该恶意软件攻击了俄罗斯公司 Moscollector，该公司维护着一个大型传感器网络，用于监测莫斯科的地下水和污水处理系统，以便进行紧急情况检测和响应。

BlackJack于上个月初分享了此次攻击的细节（https://ruexfil.com/mos/），将 Fuxnet 描述为“强化版的Stuxnet ”，Claroty 指出，该恶意软件很可能通过端口 4321 使用 SSH 或传感器协议 (SBK) 等协议远程部署到目标传感器网关。

Fuxnet 具有不可逆转地破坏文件系统、阻止对设备的访问以及通过不断写入和重写内存来物理破坏设备上的 NAND 内存芯片的功能，以使其无法运行。

最重要的是，它旨在重写 UBI 卷以防止传感器重新启动，并最终通过发送大量虚假的Meter-Bus (M-Bus) 消息来破坏传感器本身。

Claroty 指出：“攻击者开发并部署了针对网关的恶意软件，删除了文件系统和目录，禁用了远程访问服务、每个设备的路由服务，重写了闪存，破坏了 NAND 内存芯片和 UBI 卷，并采取了其他进一步破坏这些网关运行的操作。”

根据俄罗斯网络安全公司卡巴斯基本周早些时候分享的数据，互联网、电子邮件客户端和可移动存储设备成为 2024 年第一季度组织 OT 基础设施中计算机的主要威胁来源。

“攻击者使用脚本来实现各种目的：收集信息、跟踪、将浏览器重定向到恶意网站以及将各种类型的恶意软件（间谍软件和/或静默加密挖掘工具）上传到用户的系统或浏览器。”

卡巴斯基的报告（https://securelist.com/industrial-threat-landscape-q1-2024/112683/）称。“这些恶意软件通过互联网和电子邮件传播。”

新闻链接：https://thehackernews.com/2024/05/microsoft-warns-of-surge-in-cyber.html