過去一周,業界對SolarWinds黑客攻擊的關注主要集中在美國聯邦政府部門,但是根據工控系統安全公司Dragos的最新報告,SolarWinds惡意軟體還感染了電氣、石油和製造行業的十多個關鍵基礎設施公司,這些公司也都在運行SolarWinds公司的軟體。
Dragos公司執行長羅伯·李說,除了關鍵的基礎設施公司之外,SolarWinds軟體還感染了為這些公司提供服務的三家設備製造商。
黑客在SolarWinds Orion植入木馬化後門的做法本身屬於軟體供應鏈攻擊,這種攻擊威力巨大,可以「以點帶面」,輻射數以萬計的政府部門和企業。而針對美國關鍵基礎設施OEM製造商的攻擊,則屬於產業供應鏈攻擊,能夠針對性地輻射到OEM供應商的所有客戶(關鍵基礎設施)。這種軟體供應鏈與產業供應鏈疊加的「雙供應鏈攻擊」,使得SolarWinds惡意軟體成為美國關鍵基礎設施迄今面臨的最嚴峻的網絡安全危機。
關鍵基礎設施的服務公司在業內被稱為原始設備製造商(OEM)。他們往往可以遠程訪問客戶網絡的關鍵部分,擁有能夠更改網絡配置、安裝新軟體甚至控制關鍵操作的特權。這意味著入侵OEM設備供應商的黑客可能會利用獲取帶帳戶憑據來控制關鍵的客戶流程。
「設備製造商對客戶網絡帶(雙向)訪問,通常用於控制渦輪機之類的敏感設備,可(被黑客)用於破壞行動,」羅伯·李說道。「但是,黑客僅僅獲取訪問權限並不意味著他知道該做什麼或如何做。這並不意味著他們可以關掉電閘。(獲取訪問權)之後,黑客如果想實施破壞還需要做更多的事情。」
但是,入侵OEM設備製造商確實會放大基礎架構的潛在風險。
國家安全局前關鍵基礎設施威脅情報分析師Lee說:「尤其令人擔憂的是…入侵一個OEM設備製造商,可能會為黑客打開進入數千個組織的大門。」「例如,受到攻擊的兩家OEM設備製造商可以訪問全球數百個工控系統網絡。」
Lee指出,在某些情況下,OEM設備製造商不僅有訪問客戶網絡的權限,實際上還直接通過SolarWinds軟體感染了客戶。因為這些設備製造商不僅在自己的網絡上使用SolarWinds,還將其安裝在客戶網絡上以管理和監視工控系統網絡,很多客戶甚至對此毫不知情。
SolarWinds在3月遭到入侵,軟體更新被木馬化,攻擊者能夠訪問任何下載這些更新的用戶的網絡。美國政府官員(例如國務卿蓬佩奧)已將這次入侵與俄羅斯聯繫起來。
網絡安全公司FireEye的安全研究人員將這個木馬後門命名為SUNBURST(日爆)。
FireEye執行長凱文·曼迪亞(Kevin Mandia)表示,攻擊者只進入了被後門感染的數千個實體中的約50個。
Lee說,關鍵基礎設施領域的感染不僅發生在公司的IT網絡上,而且有時還發生在管理關鍵功能的工業控制系統網絡上。
但是,目前沒有證據表明黑客利用SolarWinds軟體中的後門來訪問被感染了的15個電力、石油、天然氣和製造企業。但是Lee指出,如果攻擊者確實訪問並滲透進入了工業控制系統網絡,人們也很難發現,因為關鍵基礎架構實體通常不會對其控制系統網絡進行大量的日誌記錄和監視。
「在這些ICS網絡中,大多數組織都沒有(足夠的)數據和可見性來真正尋找漏洞,」Lee說。「因此,他們可能會確定自己是否受到威脅,但是…幾乎沒有受害企業有網絡日誌可用來確定(他們的網絡中)是否存在後續攻擊活動。」
Lee進一步說,所有受感染的企業「都已假設受到威脅,並在進行必要的威脅搜尋工作」。但是,如果沒有日誌記錄,很難跟蹤黑客在網絡中的活動,企業只能通過一些所謂的惡意行為來判斷是否受到威脅。「這是一個深入地下,難以根除的危險對手。」
如果黑客使用受感染的OEM設備製造商的憑據和特權訪問進入,則客戶想要發現黑客的活動可能更加困難,因為很多流量和活動看起來是合法的。
據悉,Dragos公司已經通知三個被感染的OEM設備製造商,以及有關政府官員和當選總統喬·拜登的新政府。美國國土安全部網絡安全和基礎設施安全局(CISA)上周發布的警報指出,美國的關鍵基礎設施實體受到SolarWinds木馬化軟體的威脅,但沒有具體指出受影響的行業,也沒有指出包括關鍵基礎設施的OEM設備供應商。
這並不是工業控制系統OEM設備製造商首次遭到黑客入侵。2012年,某國家黑客入侵了一家名為Telvent的OEM設備製造商,竊取了工程圖並訪問了用於對工業控制系統進行編程的文件。
Telvent是總部位於西班牙的施耐德電氣(Schneider Electric)的一個部門,其軟體已被用於美國和加拿大的石油和天然氣管道以及一些水控制系統網絡。當時,該漏洞引起了人們的關注,即黑客可能已在軟體中嵌入了惡意代碼以感染客戶控制系統。
「當您查看工業網絡時,許多人仍然認為它們是高度細分(段)的,但這僅意味著對公司的企業網絡進行了細粒度分段,」Lee說道:「儘管(工控系統)與企業網絡進行了分段隔離,但它們與OEM設備製造商以及與相關的網絡維護、其他相連設備之間卻存在廣泛的連接。」
安全社區的調查人員表示,目前還沒有足夠的證據將SolarWinds供應鏈攻擊歸因於一個特定的黑客組織或國家,但多位美國政府官員(包括當選總統拜登和國務卿蓬佩奧)將這次行動歸因於俄羅斯,儘管他們並未指出是什麼導致了這一結論。
負責監管美國國家網絡安全計劃的前戰略和國際研究中心官員詹姆斯·劉易斯指出:「政府中有這麼多官員(將這些歸因於俄羅斯),顯然,這不可能是毫無依據的指控。取證人員正在研究黑客在網絡上留下的痕跡,但這可能不是最佳的溯源方法,政府也在使用其他方法進行歸因和溯源。因此,即便網絡安全專業取證人員尚未發現證據,並不意味著政府情報部門沒有完整的圖片。」
上周一,俄羅斯政府發言人德米特裡·佩斯科夫(Dmitry Peskov)公開否認對SolarWinds供應鏈攻擊行動負責。隨後在上周六的兩條推文中,川普有意淡化了SolarWinds襲擊的嚴重性,並調轉矛頭將懷疑對象從俄羅斯轉移到了中國。據美聯社報導,原本白宮上周五準備發布聲明正式宣布俄羅斯是攻擊的主使者,但在最後關頭被撤下。
目前,SolarWinds黑客攻擊的範圍仍是未知數,但到目前為止,已經呈報遭受攻擊的組織包括:美國國土安全部、商務部和財政部;至少兩個國家實驗室;聯邦能源管理委員會;維護國家核武器庫存的美國國家核安全局;微軟、思科和英特爾等科技巨頭也被感染了。
此外,政府機構的許多入侵行為不僅限於SolarWinds惡意軟體感染。參議員羅恩·懷登(Ron Wyden)上周透露,黑客能夠閱讀和竊取美國財政部一些高級官員的電子郵件。
SolarWinds供應鏈攻擊不是普通的間諜活動,黑客對關鍵基礎設施的入侵可製造更大的威脅。而俄羅斯,恰恰是為數不多的(如果不是唯一的),具備驗證過的破壞關鍵基礎設施的能力的國家。
2015年,俄羅斯黑客在冬季入侵了幾家烏克蘭配電廠,切斷了23萬名客戶的電源長達6個小時之久。此外,2016年俄羅斯黑客組織在烏克蘭再次實施攻擊,切斷部分客戶供電長達一個小時,還襲擊了管理烏克蘭國家鐵路系統的國家鐵路運輸管理局。這一系列行動讓專家得出一個結論:那就是俄羅斯人正在用烏克蘭作為試驗床,以完善可以在其他國家(例如美國)使用的黑客技術。
上周日,在CNN的「國情諮文」節目中,參議員羅姆尼指出:「俄羅斯所做的就是建立打擊美國的電力、能源、水利、通信等關鍵基礎設施的能力。」他繼續說:「這與戰爭時期的攻擊無異,因此非常危險,這是對我們主權的無情羞辱,並且必須得到非常強烈的回應。」
國土安全部的前副部長蘇珊娜·斯波丁則認為,SolarWinds供應鏈攻擊黑客的意圖仍然未知,即使他們入侵了電力、石油和天然氣行業的網絡,但這並不意味著他們具備造成破壞的能力。
她說:「但即便如此,黑客仍然可以獲得很多信息…有助於規劃一次真正的破壞性攻擊。」由於SolarWinds活動中的黑客也入侵了美國聯邦能源監管委員會,因此可以向他們提供有關美國電網中的漏洞和安全措施的信息,以便他們以後可以利用它們進行攻擊。斯波丁提及了2015年俄羅斯對烏克蘭配電廠的黑客攻擊:黑客在工廠網絡中至少進行了六個月的偵察,以了解設備及其工作原理,然後在當年12月製造了大斷電。
Lee則警告說:「雖然其他國家黑客組織例如伊朗也曾入侵美國電網,但這是不同的。如果伊朗入侵關鍵基礎設施的工業控制系統,只能說它具備破壞的可能性,但你不確定黑客是否具備足夠的(工控系統專業)知識和能力。但是,如果俄羅斯是SolarWinds攻擊的幕後黑手,考慮到俄羅斯已經展示了這種破壞能力。因此,我們的問題將不再是能否,而是會否,亦或,何時?」