金融行业在行动

威力巨大的“双供应链攻击”

黑客在SolarWinds Orion植入木马化后门的做法本身属于软件供应链攻击，这种攻击威力巨大，可以“以点带面”，辐射数以万计的政府部门和企业。而针对美国关键基础设施OEM制造商的攻击，则属于产业供应链攻击，能够针对性地辐射到OEM供应商的所有客户(关键基础设施)。这种软件供应链与产业供应链叠加的“双供应链攻击”，使得SolarWinds恶意软件成为美国关键基础设施迄今面临的最严峻的网络安全危机。

关键基础设施的服务公司在业内被称为原始设备制造商(OEM)。他们往往可以远程访问客户网络的关键部分，拥有能够更改网络配置、安装新软件甚至控制关键操作的特权。这意味着入侵OEM设备供应商的黑客可能会利用获取带账户凭据来控制关键的客户流程。

“设备制造商对客户网络带(双向)访问，通常用于控制涡轮机之类的敏感设备，可(被黑客)用于破坏行动，”罗伯·李说道。“但是，黑客仅仅获取访问权限并不意味着他知道该做什么或如何做。这并不意味着他们可以关掉电闸。(获取访问权)之后，黑客如果想实施破坏还需要做更多的事情。”

但是，入侵OEM设备制造商确实会放大基础架构的潜在风险。

国家安全局前关键基础设施威胁情报分析师Lee说：“尤其令人担忧的是…入侵一个OEM设备制造商，可能会为黑客打开进入数千个组织的大门。”“例如，受到攻击的两家OEM设备制造商可以访问全球数百个工控系统网络。”

Lee指出，在某些情况下，OEM设备制造商不仅有访问客户网络的权限，实际上还直接通过SolarWinds软件感染了客户。因为这些设备制造商不仅在自己的网络上使用SolarWinds，还将其安装在客户网络上以管理和监视工控系统网络，很多客户甚至对此毫不知情。

SolarWinds在3月遭到入侵，软件更新被木马化，攻击者能够访问任何下载这些更新的用户的网络。美国政府官员(例如国务卿蓬佩奥)已将这次入侵与俄罗斯联系起来。

网络安全公司FireEye的安全研究人员将这个木马后门命名为SUNBURST(日爆)。

FireEye首席执行官凯文·曼迪亚(Kevin Mandia)表示，攻击者只进入了被后门感染的数千个实体中的约50个。

Lee说，关键基础设施领域的感染不仅发生在公司的IT网络上，而且有时还发生在管理关键功能的工业控制系统网络上。

但是，目前没有证据表明黑客利用SolarWinds软件中的后门来访问被感染了的15个电力、石油、天然气和制造企业。但是Lee指出，如果攻击者确实访问并渗透进入了工业控制系统网络，人们也很难发现，因为关键基础架构实体通常不会对其控制系统网络进行大量的日志记录和监视。

“在这些ICS网络中，大多数组织都没有(足够的)数据和可见性来真正寻找漏洞，”Lee说。“因此，他们可能会确定自己是否受到威胁，但是…几乎没有受害企业有网络日志可用来确定(他们的网络中)是否存在后续攻击活动。”

Lee进一步说，所有受感染的企业“都已假设受到威胁，并在进行必要的威胁搜寻工作”。但是，如果没有日志记录，很难跟踪黑客在网络中的活动，企业只能通过一些所谓的恶意行为来判断是否受到威胁。“这是一个深入地下，难以根除的危险对手。”

如果黑客使用受感染的OEM设备制造商的凭据和特权访问进入，则客户想要发现黑客的活动可能更加困难，因为很多流量和活动看起来是合法的。

据悉，Dragos公司已经通知三个被感染的OEM设备制造商，以及有关政府官员和当选总统乔·拜登的新政府。美国国土安全部网络安全和基础设施安全局(CISA)上周发布的警报指出，美国的关键基础设施实体受到SolarWinds木马化软件的威胁，但没有具体指出受影响的行业，也没有指出包括关键基础设施的OEM设备供应商。

美国电网上演“乌克兰大停电”?

这并不是工业控制系统OEM设备制造商首次遭到黑客入侵。2012年，某国家黑客入侵了一家名为Telvent的OEM设备制造商，窃取了工程图并访问了用于对工业控制系统进行编程的文件。

Telvent是总部位于西班牙的施耐德电气(Schneider Electric)的一个部门，其软件已被用于美国和加拿大的石油和天然气管道以及一些水控制系统网络。当时，该漏洞引起了人们的关注，即黑客可能已在软件中嵌入了恶意代码以感染客户控制系统。

“当您查看工业网络时，许多人仍然认为它们是高度细分(段)的，但这仅意味着对公司的企业网络进行了细粒度分段，”Lee说道：“尽管(工控系统)与企业网络进行了分段隔离，但它们与OEM设备制造商以及与相关的网络维护、其他相连设备之间却存在广泛的连接。”

安全社区的调查人员表示，目前还没有足够的证据将SolarWinds供应链攻击归因于一个特定的黑客组织或国家，但多位美国政府官员(包括当选总统拜登和国务卿蓬佩奥)将这次行动归因于俄罗斯，尽管他们并未指出是什么导致了这一结论。

负责监管美国国家网络安全计划的前战略和国际研究中心官员詹姆斯·刘易斯指出：“政府中有这么多官员(将这些归因于俄罗斯)，显然，这不可能是毫无依据的指控。取证人员正在研究黑客在网络上留下的痕迹，但这可能不是最佳的溯源方法，政府也在使用其他方法进行归因和溯源。因此，即便网络安全专业取证人员尚未发现证据，并不意味着政府情报部门没有完整的图片。”

（编辑：阜新站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!