本周三，包括美國(guó)能源部（DOE）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局（FBI）在內(nèi)的多個(gè)機(jī)構(gòu)，向關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商發(fā)出了嚴(yán)重的潛在攻擊警報(bào)。近年來，某些持續(xù)威脅（APT）參與者創(chuàng)建了許多定制工具，并在針對(duì)工業(yè)控制系統(tǒng)（ICS）、監(jiān)控和數(shù)據(jù)采集設(shè)備（SCADA）等關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件中發(fā)揮了相當(dāng)大的威力。

（來自：CISA）

具體說來是，此類攻擊多針對(duì)施耐德電氣的 PLC（通用控制器）、歐姆龍 Sysmac N PLC 和開放平臺(tái)統(tǒng)一通信架構(gòu)（OPC UA）服務(wù)器而發(fā)起。

鑒于上述產(chǎn)品亦在美國(guó)諸多重要的工業(yè)設(shè)施中得到了廣泛的使用，美國(guó)多個(gè)聯(lián)邦部門在警報(bào)中發(fā)出了嚴(yán)厲的提醒：

一旦被攻擊者獲得對(duì)相關(guān)運(yùn)營(yíng)技術(shù)（OT）的最終訪問權(quán)限，特定工具將能夠?qū)?nèi)網(wǎng)進(jìn)行掃描、破壞和建立遠(yuǎn)程控制能力。

此外針對(duì)工控主板驅(qū)動(dòng)漏洞的利用，也潛在于基于 Windows 操作系統(tǒng)的工程信息技術(shù)（IT）或 OT 環(huán)境的工作站中。

通過制定和維護(hù)對(duì) ICS / SCADA 設(shè)備的訪問權(quán)限，APT 參與者可順利提權(quán)、在 OT 環(huán)境中四處游蕩，進(jìn)而破壞關(guān)鍵設(shè)備或系統(tǒng)功能。

正因如此，有關(guān)部門才不厭其煩地在每一份館建設(shè)施實(shí)施警報(bào)中給出相關(guān)檢測(cè)和緩解建議。

本輪攻擊波及施耐德電氣的 MODICON 和 MODICON Nano PLC，影響 TM251、TM241、M258、M23、LMC058 和 LMC078 等型號(hào)。

歐姆龍 Sysmac NJ NX8 PLC 亦有在列，受影響的產(chǎn)品涵蓋了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型號(hào)。

ICS 網(wǎng)絡(luò)安全軟件公司 aDolus Technology 首席技術(shù)官 Eric Byres 在接受 The Record 采訪時(shí)指出：基于通用的“共同合作協(xié)議”，OPC UA 的大多數(shù)供應(yīng)商系統(tǒng)都允許配合多方的產(chǎn)品使用。

安全公司 Dragos 首席執(zhí)行官 Robert Lee 補(bǔ)充道，他們一直在追蹤此類針對(duì) ICS 的惡意軟件?？芍渥畛跻允┠偷码姎夂蜌W姆龍等廠家的產(chǎn)品為目標(biāo)，且會(huì)利用本機(jī)功能來逃避安全檢測(cè)。

慶幸的是，大部分此類惡意軟件尚未在目標(biāo)網(wǎng)絡(luò)中被激活，意味著廣大基礎(chǔ)設(shè)施運(yùn)營(yíng)商仍有機(jī)會(huì)在災(zāi)難發(fā)生前迅速落實(shí)防御措施。

據(jù)悉，此類惡意軟件最初似乎特別針對(duì)液化天然氣和電力等能源基礎(chǔ)設(shè)施。但從本質(zhì)上來剖析，可知其亦可在各種各樣的工業(yè)控制器和系統(tǒng)上運(yùn)行。

（舉報(bào)）