Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织,该组织一直在破坏关键基础设施环境并篡改系统控制。
Z-Pentest 组织成立仅两个月,但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击,其中包括最近未经证实的事件,威胁组织声称破坏了美国油井系统。
Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”(也称为“俄罗斯重生网络军”)的活动,该组织除了声称今年还至少八次入侵了美国水利系统。
这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由,其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。
这两个俄罗斯组织都喜欢制造戏剧效果。例如,俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后,其成员篡改操作控制的屏幕录像(以下为德克萨斯州视频截图)。
德克萨斯州斯坦顿供水系统遭黑客攻击
今年 1 月,人民网络军发动攻击,导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出,成为头条新闻。 即使在通常不安全的关键基础设施领域中,供水和污水处理系统也被认为特别脆弱。
Z-Pentest 可能是新出现的威胁组织,10 月份才首次亮相,但在这个塞尔维亚威胁组织运作的两个月内,它已经声称至少 10 次破坏,并且在每次事件中都发布了成员篡改系统设置的视频。
根据 Cyble 的报告,在过去一周内,Z-Pentest 的活动不断升级,包括“破坏油井现场的关键系统,包括负责抽水、石油气燃烧和石油收集的系统”。
一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图,显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。
目前还不清楚该石油设施位于何处,但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。
黑客能够对关键基础设施造成多大的破坏?
虽然黑客似乎能够访问敏感环境,但 Cyble 指出,目前尚不清楚他们能造成多大的破坏。研究人员表示,可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能,但威胁组织可以访问此类环境这一事实仍然令人担忧”。
Cyble 还指出,近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出,“在发生更大规模的入侵和攻击之前,暗网上就有能源网络访问凭证出售,这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。”
Cyble 表示,“应该认真对待 Z-Pentest,因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。”
研究人员还针对运营技术和关键基础设施环境提出了安全建议,指出它们通常无法承受停机,并且通常拥有无法修补的报废设备。
技术报告:https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A
暂无评论内容