美国常规公司私营企业警告国家 - 国家行动者是针对ICS SCADA设备的目标

最后更新：2022.04.15

美国政府机构警告威胁行为者，这些行为者来自各种供应商的ICS和SCADA系统。

能源部（DOE），网络安全和基础设施安全局（CISA），国家安全局（NSA）和联邦调查局（FBI）发布了一份联合网络安全咨询（CSA），以警告由APT行动者制定的进攻性能力，这些员工可以允许他们损害多个工业控制系统（IC）/监督控制和数据收购（SCADA）设备，包括：

施耐德电动可编程逻辑控制器（PLC），欧姆龙SYSMAC NEX PLC，Andopen平台通信统一架构（OPC UA）服务器。

根据涉及领先的网络安全公司（Dragos，Mandiant，Microsoft，Palo Alto Networks和Schneider电气）的咨询，国家的黑客组织能够破解多个工业系统和NBSP;使用新的ICS-ocpused Malware Toolkit Dubbed＆NBSP; PipedReam＆NBSP;它在2022年初发现。

APT演员开发了定制的工具，一旦他们在OT网络中建立了初始访问，就可以扫描对于，妥协和控制某些IC / SCADA设备读取咨询。

APT演员的工具具有模块化架构，使网络参与者能够对针对目标设备进行高度自动化的漏洞。该工具具有虚拟控制台，具有命令接口，该命令接口镜像目标IC / SCADA设备的接口。模块与目标设备交互，通过较低技能的网络演员实现操作，以模拟更高技术的演员功能。

工具包可以允许扫描目标设备，在设备详细信息上进行侦察，上传恶意配置/代码目标设备，备份或恢复设备内容，以及修改设备参数。＆nbsp;

威胁演员可以因此，利用一个工具来安装和利用一个已知的易受攻击的ASTrock签名主板驱动程序（ASRDRV103.sys）by＆nbsp;触发＆nbsp; cve-2020-15368＆nbsp;漏洞在Windows内核中执行恶意代码。该工具可用于在IT或OT环境中执行横向运动，并干扰设备操作。

从DRADOS的研究人员分享了对新的PIPEDREAM工具包的详细分析，确认它尚未在攻击中使用野外。

PipedReam是第七已知的ICS特定恶意软件。Chernovite活动组（AG）开发了PipedReam。PipedReam是一个模块化的IC攻击框架，敌人可能会利用因目标和环境而导致破坏，降解，并且可能甚至破坏。读取Dragos发布的报告。DragOS评估了高度信心，即野外尚未在野外尚未用于破坏性效果。这是一个罕见的访问和分析mal对手在部署之前开发的蠕动功能，并给予防守者提前准备的独特机会。

该工具可以与嵌入在多个行业的不同类型的机器中的特定工业设备相互作用。虽然使用此工具集的任何操作环境的定位尚不清楚，但恶意软件对利用目标设备的组织构成了严重风险。Incontroller非常可能是赞助的，包含与中断，破坏和潜在的物理破坏相关的能力。读取Mandiant发布的分析。Incontroller代表了一个异常罕见和危险的网络攻击能力。它与Triton相当，试图在2017年禁用工业安全系统;

联合报告也包括为所有具有ICS / SCADA设备的组织的提出以下建议：

使用强大的周边控件将ICS / SCADA系统和网络隔离，并限制输入或离开ICS / SCADA周边的任何通信。＆NBSP;强制执行多因素身份验证对于尽可能对ICS网络和设备的所有远程访问。有可能。网络事件响应计划，并定期使用IT，网络安全和操作中的利益相关者进行锻炼。将所有密码放在一致的时间表中，尤其是所有的时刻默认密码，到设备唯一的强密码，以缓解密码蛮力攻击并提供防御者监控系统检测常见攻击的机会。唤醒 - 在破坏性攻击时更快地恢复，并对固件进行更快的恢复，以及对固件进行更快的恢复控制器配置文件以确保这些备份的有效性。＆nbsp;限制ICS / SCADA系统的nETWORK连接仅允许专门允许的管理和工程工作台。通过配置设备保护，凭据警卫和管理程序代码完整性（HVCI）来保护管理系统。在这些子网上安装端点检测和响应（EDR）解决方案，并确保配置强大的防病毒文件信誉设置.IMPLEMENT从ICS / SCADA系统和管理子网保留的稳健日志收集和保留.Leverage一个连续的OT监控解决方案以在恶意指标上提醒警报和行为，观看内部系统和通信，以了解敌对行为和横向运动。为了提高网络可见性，以潜在地识别异常流量，请考虑使用CISA的开源和NBSP;工业控制系统网络协议解析器（ICSNPP）。难以在必要时安装所有应用程序。＆NBSP;强制执行最小特权的原则。仅在任务时才使用管理帐户，例如安装软件upda＆nbsp;＆nbsp;调查拒绝服务或连接切断的症状，它展示了通信处理的延迟，需要重启的函数丢失，以及延迟操作员评论作为潜在恶意活动的迹象。用于加载异常驱动程序的Monitor系统的迹象，特别是如果系统上没有使用asrock驱动程序，特别是asrock驱动程序。

在部分弱者最适合个人（非商业）安全博客和Tech Whiz最佳技术博客和其他选择。

提名，请访问：

https://docs.google.com/forms/ d / e / 1faipqlsfxxriscimz9qm9iipumqic-ioM-npqmosfznjxrbqryjgcow / viewform