US-CERT：俄罗斯黑客入侵美国关键基础设施细节

美国计算机应急响应小组(US-CERT)报告详细描述了可能是来自俄罗斯攻击者的是如何策划并实施对能源设施的长期网络攻击的，并提供了防止此类事件再次发生的可行措施。

攻击首先从入侵合作伙伴开始，然后利用合作伙伴的IT系统发起对最终目标发电站的攻击。

报告称：

“

国土安全部(DHS)和联邦调查局(FBI)将这些攻击活动定性为俄罗斯政府黑客的多阶段入侵行动，他们在小型商业设施网络中部署恶意软件，进行鱼叉式网络钓鱼攻击，最终获取对能源行业网络的远程访问权。

US-CERT宣称，一旦黑客获取到访问权，俄罗斯网军就会进行网络侦察，在网络中横向移动，收集工业控制系统(ICS)相关的信息。

报告对黑客的行动步骤进行了详细描述，包括具体的方法、其服务器和存储库的IP地址，以及完整的攻击指标(IOC)信息。

国家支持的黑客攻击大多以防御欠佳的承包商为切入点，进而渗透进最终目标的网络中。俄罗斯黑客也不例外。他们以合法账户发出网络钓鱼邮件，在水坑攻击域名上加载恶意软件和凭证收集漏洞利用程序，并在有可能泄露目标重要信息的公开网站上仔细挖掘。

比如说，某个案例中，目标公司的一名员工有张工作照被放到了公司人力资源页面上。仔细查看这张照片的背景就能看出该公司所用的工控系统是哪种，而且背景中的计算机屏幕也揭示了控制软件的名称和版本信息。

公开的电子邮件地址和高管成员姓名等信息也会被黑客用于创建可信网络钓鱼邮件。

一旦进入合作伙伴的系统，黑客就会将之布置成对最终目标发起攻击的集结待命区。他们会在其中开辟软件暂存地，创建虚假账户，并布署监测程序。

染指最终目标之后，黑客会先进行一番侦察监视，收集在用软件、凭证和控制过程的信息。这些信息通过SMB协议渗漏到远程服务器上，然后，黑客再执行一系列动作掩盖其踪迹。

不幸的是，侵入US-CERT描述的控制系统并没有人们想象中的那么难。CyberX工业网络安全副总裁菲尔·内瑞表示：“这些网络从设计上就不安全，完全依赖物理隔离之类的老旧观念。但其实很多物理隔离网络中都有通向互联网的连接。”

安全问题绝大部分是源于老旧设备和厂商不再支持的操作系统。现有老旧系统能够可靠地执行所需功能，这就导致很多企业不愿意升级或替换掉这些。其结果是：企业运行着一旦操作系统升级就无法正常工作的应用程序，而且不愿打上补丁。但是，技术发展日新月异的时代，周围环境都已经发生翻天覆地的变化了，再沿用这些老旧设备和系统无异于裸奔，丝毫不受保护。

针对这一点，一个可行的建议是：学习金融行业在安全方面的做法。如果未能保证安全，华尔街早垮了。

ICS网络可以采取持续监视网络活动之类的操作，包括诸如创建用户、修改权限或注册表之类的工作站动作都可以列入监视范围。这些动作都是黑客常规操作。

长期解决方案则可以参考在年度审计中纳入安全准备度的评估，并将结果向股东宣布。另外，保费也应与安全准备度挂钩。这种触及公司底线的操作可以有效激励公司企业更严肃地对待安全。

而更直接的做法，US-CERT已经在报告中列出了：

禁用所有SMB协议，以及 TCP 139和445端口，还有UDP137端口；

在边界网关设备上禁用基于Web的分布式编辑和版本控制(WebDAV)协议；

监视VPN异常行为；

分隔关键网络/系统和业务系统；

仅使用带高级日志的PowerShell 5；

禁用对管理员账户的外部访问；

实现双因子身份验证。

US-CERT还奉上了一套完整的YARA规则配合该开源软件模式匹配工具使用，并给出了用YARA进行恶意软件检测的指南。

只要掌握着有价值的资产，就得假定已经被黑客盯上，假定他们已经在你的系统里了。问题是：怎么把他们“请”出去？

聘请专业的工业安全公司来找出黑客所为，清除黑客及其所留后门，不失为明智的做法。

而要确保新系统不会遭遇老问题，则可以通过指定可以更新的系统和不特定于某种操作系统的软件来达成。

https://www.us-cert.gov/ncas/alerts/TA18-074A