全球联邦机构对亲俄黑客组织针对北美和欧洲关键基础设施的运营技术 (OT) 设备发起的网络攻击增多发出警告。
网络安全和基础设施安全局 (CISA)、联邦调查局、国家安全局、环境保护署、能源部、美国农业部、美国食品药品监督管理局、多州信息安全分析与分析中心、加拿大网络安全中心和英国国家网络安全中心均发现这些威胁行为者正在危害小规模工业控制系统,例如用于水/废水、水坝、能源和食品/农业设施的人机界面 (HMI)。
该机构表示:“编写组织了解到亲俄罗斯的黑客分子正在瞄准并攻击北美和欧洲的水和废水系统、水坝、能源以及食品和农业部门的小型 OT 系统。”
“这些黑客试图利用虚拟网络计算 (VNC) 远程访问软件和默认密码,通过 HMI 等软件组件来破坏模块化、暴露在互联网上的工业控制系统。”
虽然所使用的技术相对简单,但当局警告称,黑客活动分子展示的能力可能会对不安全的 OT 环境造成物理破坏。观察到的策略包括利用公开的互联网连接、使用未进行多因素身份验证的默认或弱密码以及远程操纵 HMI 设置。
“在每起案件中,黑客都会将设定点调到最大,更改其他设置,关闭警报机制,并更改管理密码以锁定操作员,”该通报解释道。“一些受害者经历了轻微的油箱溢流事件;然而,大多数人恢复了手动控制并迅速恢复了运行。”
2024 年初,上述机构对美国几家水/废水处理设施做出了回应。这些设施出现“有限的物理中断”,未经授权的用户远程操纵 HMI,以危险的方式调整泵和鼓风机设置,然后锁定合法操作员。
联合咨询为关键基础设施所有者和 OT 制造商提供了广泛的缓解措施和资源,以改善其网络防御能力。主要建议包括:
- 断开暴露在互联网上的 HMI/控制器,并要求使用多因素 VPN 进行远程访问
- 使用强大且独特的密码并消除任何默认凭证
- 及时修补并更新 VNC 软件
- 仅允许授权的设备 IP 并启用访问日志记录
- 维护更新的网络图和备份设备配置
- 尽快更换任何报废的 OT 设备
- 对于制造商:消除默认密码,强制使用多因素特权访问,包括日志记录,并发布软件物料清单
“尽管关键基础设施组织可以采取措施降低风险,但最终 OT 设备制造商有责任制造出在设计和默认上都是安全的产品,”该咨询报告指出。“编写组织敦促设备制造商对其客户的安全结果负责。”
上述机构强调,尽管黑客分子历来夸大其能力,但获得的工业控制系统访问权限表明,如果漏洞得不到解决,可能会对现实世界产生更大的影响。
鼓励受此活动或其他可疑事件影响的组织及时向 CISA、FBI、相关 ISAC 和行业风险管理机构报告。