美国政府警告针对ICS/SCADA系统的新恶意软件攻击

美国政府机构发布联合警告称，黑客有能力获得工业控制系统的完全系统访问权限，这可能有助于敌国破坏关键基础设施。

美国能源部、网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）和美国联邦调查局（FBI）联合发布了一份网络安全咨询报告，其中警告称，身份不明的黑客已经创建了可能对工业运营造成重大损害的专业恶意软件，特别是能源部门应遵循有关如何防御和减轻威胁的建议。

该公告解释说，已经创建了定制工具，目标是欧姆龙和施耐德电气的工业控制可编程逻辑控制器（PLC），以及开源OPC基金会的服务器。

正如公告所述，黑客开发的工具使他们能够在建立对操作技术（OT）网络的初始访问后，扫描、破坏和控制受影响的设备。

此外，攻击者还可以利用ASRock主板驱动程序中的漏洞（CVE-2020-15368）危害IT或OT环境中使用的Windows工作站，帮助他们横向移动组织。

这一切意味着什么？这意味着对手可能破坏、降低甚至可能破坏工业环境中使用的控制系统，可能破坏涉及电力和液化天然气的操作。

安全公司Dragos表示，他们一直在追踪该恶意软件，并称其为，PIPEDREAM，自2022年初以来。

该公司警告称，PIPEDREAM可以影响全球相当大比例的工业资产。

很明显，政府的威胁是严重的，s警告例如，描述恶意软件影响施耐德PLC的一些方式：

• 执行拒绝服务攻击以阻止网络通信到达PLC
• 服务器连接，要求用户重新验证PLC，可能有助于获取凭据
• 执行“死亡数据包”攻击以使PLC崩溃，直到进行电源循环和配置恢复

以下ICS/SCADA设备据说受到黑客部署的自定义工具的威胁：

• 施耐德电气MODICON和MODICON Nano PLC，包括（但不限于）TM251、TM241、M258、M238、LMC058和LMC078
• 欧姆龙Sysmac NJ和NX PLC，包括（但不限于）NEX NX1P2、NX-SL3300、NX-ECC203、NJ501-1300、S8VK和R88D-1SN10F-ECT
• OPC统一体系结构（OPC UA）服务器

建议安全响应团队确保在可能的情况下对所有远程访问ICS网络和设备实施多因素身份验证，确保设置唯一、强大的密码，并部署监控系统以记录和警告恶意指示和行为。

美国政府发出警告之前，发生了一系列与俄罗斯入侵乌克兰有关的袭击事件。