据几个政府机构称，黑客已经创建了定制工具来控制一系列工业控制系统 (ICS) 和监督控制和数据采集 (SCADA) 设备，这标志着对美国一系列关键基础设施的最新威胁。

在本周的警报中，网络安全和基础设施安全局 (CISA)、能源部 (DOE)、国家安全局 (NSA) 和 FBI 表示，一些面临风险的设备包括施耐德电气和欧姆龙的可编程逻辑控制器电子以及开放平台通信统一架构服务器。

这些工具使威胁组织能够在获得对组织运营技术网络的初始访问权限后扫描、破坏并最终控制受影响的设备。

“此外，攻击者可以利用破坏已知漏洞的华擎主板驱动程序的漏洞来破坏可能存在于信息技术 (IT) 或 OT 环境中的基于 Windows 的工程工作站，”这些机构在警报中写道。

“通过破坏和维护对 ICS/SCADA 设备的完整系统访问权限，APT [高级持续威胁] 参与者可以提升权限，在 OT 环境中横向移动，并破坏关键设备或功能。”

网络安全公司 Dragos在今年早些时候通过独立研究并与合作伙伴合作，发现了特定于 ICS 的恶意软件——它称之为 Pipedream。

Dragos 研究人员将 Pipedream 与威胁组织 Chernovite 联系起来。

政府机构正在敦促关键基础设施组织——尤其是能源部门的组织——实施推荐的检测和缓解流程，包括使用强大的周边控制将 ICS 和 SCADA 系统和网络与企业和互联网网络隔离，并限制通信进出那些周长。

他们还建议使用多因素身份验证来远程访问 ICS 网络和设备。

网络安全公司 Tripwire 的战略副总裁 Tim Erlin 告诉行业组织需要注意政府的警报。

“重要的是要注意，虽然这个警报要求使用工具来访问特定的工业控制系统，但还有一个更大的威胁，涉及更多的工业控制环境，”Erlin 说。

“攻击者需要一个初始的妥协点才能访问所涉及的工业控制系统，组织应该相应地建立他们的防御。”

他指出推荐的缓解过程的广泛列表，指出防御威胁“不仅仅是应用补丁的问题”。

过去几年，政府机构一直关注美国关键基础设施面临的网络安全威胁，2021 年针对能源供应商 Colonial Pipeline 和 JBS Foods 的勒索软件攻击在美国产生了广泛影响。

随着俄罗斯无端入侵乌克兰，这种威胁只会越来越大，机构警告称，俄罗斯及其支持的威胁组织对其邻国发起的网络攻击会产生溢出影响。

私营部门也正在采取行动保护汽车、半导体、能源、银行和电信等行业的工业系统。一个名为运营技术网络安全联盟(OTCSA) 的新联盟包括可口可乐、霍尼韦尔和黑莓等公司以及 Fortinet、ABB 和 Check Point 等网络安全公司。

目标是收集信息并与联盟成员和政府机构共享信息。

在最新的警报中，这些机构表示，APT 组织已经创建了具有模块化架构的工具，使他们能够对系统运行自动漏洞利用。该软件包括一个带有命令行界面的虚拟控制台，可反映目标设备中的内容。

他们写道：“模块与目标设备交互，使低技能网络参与者的操作能够模仿高技能参与者的能力。” “APT 参与者可以利用这些模块扫描目标设备，对设备详细信息进行侦察，将恶意配置/代码上传到目标设备，备份或恢复设备内容，以及修改设备参数。”

还有一个工具可以安装和利用华擎签名的主板驱动程序 AsrDrv103 中的一个已知缺陷。该工具利用被跟踪为CVE-2020-15368的漏洞，在 Windows 内核中执行恶意代码，并使 APT 参与者能够在 IT 或 OT 环境中横向移动并破坏关键设备和功能。

Dragos 研究人员在一篇博客文章中写道，Pipedream 是一个“模块化的 ICS 攻击框架，对手可以利用它来造成破坏、退化，甚至可能根据目标和环境造成破坏。”

不相信 Pipedream 尚未在野外使用，并补充说它可以执行 38% 的已知 ICS 攻击技术和 83% 的已知 ICS 攻击策略。

“虽然 Chernovite 专门针对施耐德电气和欧姆龙控制器，但可能还有其他模块针对其他供应商，并且 Pipedream 的功能可以在数百种不同的控制器上运行，”他们写道。

“简单地说，把重点放在设备供应商上是错误的，而应该把重点放在对手正在利用的战术和技术上。”

除了隔离 ICS 和 SCADA 系统并利用多因素身份验证外，美国机构还建议采取诸如制定网络事件计划、更改目标设备和系统的所有密码以及使用强密码、维护备份、实施强日志收集等步骤和保留 ICS 和 SCADA 系统，并确保仅在需要运行时安装应用程序。