据Cyble公司12月6日的博文,两个俄罗斯黑客组织越来越多地将目标对准美国和其他国家的关键基础设施,他们的攻击远远超出了黑客组织通常进行的DDoS攻击和网站破坏。这两个组织——人民网络军和Z-Pentest——在其Telegram频道上发布了视频,据称视频显示其成员篡改了运营技术控制 (OT),尤其是在石油和天然气以及水系统领域。Cyble暗网研究人员记录了一些发布的动态,分析攻击者可能主要是为了建立信誉,而不是对目标造成损害。但在上周,Z-Pentest的动作似乎有所升级,攻击目标包括破坏美国的一个油井系统。这些组织还获取了其他国家关键基础设施的运营控制信息,特别是加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰,经常声称对这些国家在乌克兰与俄罗斯的战争中提供的支持进行报复。有些攻击已被公开报道 - 最著名的是人民网络军对水利设施的攻击- 但 Z-Pentest 声称的能源部门攻击基本上没有引起关注。目前尚不清楚这两个俄罗斯组织能够造成多大的破坏,但鉴于美国网络安全和情报机构一再警告黑客深度渗透美国关键基础设施,这些环境应被视为极度脆弱,并应予以相应加强。
![俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施]( "俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施")
Z-Pentest似乎自10月以来才开始活跃,但在这两个月内,Cyble的暗网研究团队记录了10起声称该组织发动的攻击,所有攻击都涉及访问关键基础设施环境中的控制面板。他们的主要Telegram频道最近被关闭,但该组织仍在X上存在,并声称总部设在塞尔维亚。
![俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施]( "俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施")
Z-Pentest最近的指控涉及破坏油井现场的关键系统,包括负责抽水、石油气燃烧和石油收集的系统。一段6分钟的屏幕录像显示了该设施控制系统的详细截图,显示了油箱设定点、蒸汽回收指标和操作仪表板,据称在入侵期间被访问和更改。目前尚不清楚该石油设施位于何处,但另外两个美国石油设施指控似乎与已知位置和公司相符。
在另外两起声称发动的攻击中,该威胁组织发布了一段时长4分钟的屏幕录像,其中他们访问了一系列操作控制(以下示例中删除了识别信息)。
![俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施]( "俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施")
虽然黑客很可能正在访问敏感环境,但尚不清楚他们能造成多大的破坏。例如,可编程逻辑控制器(PLC)通常包含可以防止破坏性行为发生的安全功能,但威胁行为者可以访问此类环境这一事实仍然令人担忧。
Cyble发现,近几个月来针对能源行业的威胁活动总体上有所增加。暗网索赔和勒索软件攻击有所增加,暗网市场上出售网络访问和零日漏洞。Cyble发现,在发生更大规模的入侵和攻击之前,暗网上就有出售能源网络访问凭证的情况,这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。
更知名的“人民网络军”(PCA)——也被称为“俄罗斯网络军重生”——也一直在针对美国和其他国家的关键基础设施控制,有迹象表明PCA和Z-Pentest可能在合作。虽然该组织的许多活动都涉及DDoS攻击,但最近声称还入侵了美国一家环境清洁公司的控制面板以及德克萨斯州和特拉华州的水系统。
![俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施]( "俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施")
一些OT安全专家认为,供水和废水系统特别脆弱,部分原因是社区没有能力在长期没有这些系统的情况下应对这种情况。
人民网络军于8月底和9月发动了两次袭击,发布的屏幕记录显示该组织篡改了德克萨斯州斯坦顿市斯坦顿水处理厂和特拉华州纽卡斯尔水塔控制面板上的系统设置(下图)。
![俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施]( "俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施")
在德克萨斯州的案件中,黑客能够打开阀门并释放未经处理的水,但除此之外据信没有造成任何损害。
总之,Cyble记录了人民网络军今年在美国和其他地方发动的八次供水系统攻击,其中包括1月份导致德克萨斯州阿伯纳西和穆尔舒的储水箱溢出的攻击。该组织自2022年以来一直以乌克兰盟友为目标,并于2024年7月受到美国政府的制裁。
Cyble认为,最近针对能源和水利设施的一系列攻击表明,利用这些脆弱环境的攻击正在升级,令人担忧。Z-Pentest作为这一领域的新威胁行为者的出现应该引起重视,因为该组织已经展示了渗透这些环境并访问和修改操作控制面板的明显能力。关键基础设施环境通常无法承受停机,报废设备通常在支持结束后仍会继续使用很长时间。考虑到这些挑战,以下是一些改善关键环境安全性的一般建议:
(1)组织应关注ICS/OT漏洞公告,并在补丁发布后立即应用。及时了解供应商更新和安全建议对于确保及时解决漏洞至关重要。
(2)将ICS/OT/SCADA网络与IT基础设施的其他部分隔离,有助于防止在发生入侵时出现横向移动。实施零信任架构也是明智之举,可以限制漏洞利用的可能性。不需要暴露在互联网上的设备不应暴露在互联网上,而需要暴露在互联网上的设备应尽可能受到保护。
(3)对所有人员(特别是有权使用运营技术(OT)系统的人员)进行定期的 网络安全培训,有助于防止人为错误并降低社会工程攻击的风险。
(4)持续的漏洞扫描和渗透测试有助于在攻击者利用漏洞之前识别和解决漏洞。使用威胁情报服务并及时了解漏洞情报报告对于主动防御至关重要。威胁搜寻也应成为检测关键环境和相邻IT网络中的高级持续性威胁(APT)的常规做法。
(5)制定强大的事件响应计划并定期进行安全演习可确保组织做好准备,对可能发生的任何安全事件做出快速、协调的反应。
1、https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/?
2、https://thecyberexpress.com/russian-threat-group-z-pentest/
原文始发于微信公众号(网空闲话plus):俄罗斯两黑客组织瞄准了美、加、澳等国关键基础设施
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3483767.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论