安全措施需要与复杂的攻击相匹配

工业控制系统(ICS)和监控与数据采集(SCADA)用户需要了解，他们需要创建一个全面的安全计划，以防止像去年12月乌克兰公用事业攻击这样的针对性攻击。

霍尼韦尔工业网络安全实验室(Honeywell Industrial Cyber security Lab)首席安全研究员玛丽娜·克罗托菲尔(Marina Krotofil)是去年12月乌克兰公用事业攻击事件的调查人员，她说:“攻击者开发这种能力至少有一年，也许是两年，他们释放了这个工具，不会再使用它了。”“这意味着他们已经发展出更好、更高、更先进的能力。这是可怕的，因为我们不知道该准备什么。”

去年12月发生在乌克兰的袭击远不止针对电网。这是一次系统性攻击，袭击了全国各地的关键政府和基础设施。这次攻击最终与2015年12月袭击乌克兰电网的攻击非常相似。但与2015年的网络攻击不同，2015年的网络攻击切断了全国27个配电运营中心，影响了乌克兰西部的三家公用事业公司，2016年12月的攻击袭击了输电级变电站皮夫尼奇纳，这是一个远程输电设施，并关闭了控制断路器的远程终端单元(rtu)，导致停电约一个小时。

克罗托菲尔说，这次攻击的一个有趣特征是留下了工具。“该代码是专门为这次攻击编写的，并在两天前被删除。由于这是一场旷日持久的攻击，他们本可以夺回控制权，但他们放弃了。如果他们留下了，那是因为他们想让他们被找到。如果发现了网络武器，攻击者就会把它扔进垃圾桶。这意味着他们故意把它们扔进了垃圾桶，而且他们在攻击中甚至没有使用所有的工具。他们故意抛弃了比他们需要或使用的更多的工具。这告诉我们，攻击者不再需要这些工具了。如果他不需要他们，那就意味着他有更好的工具。

“其次，他希望找到工具。这意味着他在展示自己的能力。这也可以看作是一种邀请。好吧，伙计们，我们知道每个人都在悄悄地入侵工业控制系统，并试图移除这些工具，但是让我们再次提高标准，让我们开放，让我们看看这种(针对这些工具的)保护水平现在应该成为新常态。”

新的恶意软件家族

此外，攻击者留下了代码，这样其他坏人就会得到代码，新的家族就会受到启发，创建恶意软件的分支。整个攻击的另一个有趣的方面是，黑客有足够的时间来弄清楚如何完成任务。

克罗托菲尔说:“攻击者投入了大量时间来开发他们可以对设备说话的位置，并将其发送到关闭位置，导致关机。”“他们找到了国家指令，然后说‘我可以逆转它，然后我可以把它发送回去，然后设备就会关闭。为此，他们不仅需要了解协议，还需要了解设备的语言，设备使用哪种语言和命令，哪些命令是可能的?这都需要时间。他们了解设备。他们理解协议。这些都是经过开发和测试的能力。所有这些工具都是一两年前开发出来的。这意味着攻击者提前了很长时间。”

在公用事业公司遭到袭击时，克罗托菲尔说，全国各地正在发生更大的袭击。这次针对乌克兰公用事业的攻击是针对该国多个组织的联合攻击的一部分。

相同，但不同

她说:“对组织的渗透、对网络的枚举和后门都是相似的，但他们在组织内部实现恶意目标的方式却各不相同。”

他们攻击铁路组织的方式是不同的。财政部也是如此。“他们为每个组织编写了不同的工具，”Krotofil说。“在每个组织中，都有针对每个组织编写的特定恶意软件。”

这意味着在遭受攻击的每个组织中都有特定的脚本来执行特定的任务。

“攻击者已经与SCADA服务器建立了非常完善的连接，并且攻击者在攻击前两天丢弃了脚本。它是在攻击前两天编译并在攻击前两天投放的。它不是在零日攻击中被利用的恶意软件。它是为特定攻击编写的一套工具。”

她说，攻击者已经建立了一个后门，与指挥和控制中心进行通信，而公用事业公司没有监控通信。

“我们每天都能看到超级复杂、超级智能的恶意软件。天天都是超级隐身，前所未见，难以逆向工程;攻击者的能力一天比一天强，”克罗托菲尔说。“我们倾向于看看我们的发现，说这是进攻的艺术水平，但事实并非如此。当我们看到它的时候，它已经老了。他们已经有了新的东西。这就是我们必须意识到我们必须为更高水平做准备的地方。我们看到一些恶意软件，看到它是最先进的，我们会认为它是非常先进的，它不会发生在我身上，所以我不会解决它。我们不能那样想。我们应该像他们那样思考，我们应该思考他们拥有什么样的能力，以及我们明天会看到什么。”

格雷戈里·黑尔是ISSSource的创始人。本文原载于ISSSource的博客。ISSSource是CFE Media的内容合作伙伴。CFE Media内容专家Carly Marchal编辑cmarchal@cfemedia.com。

请参阅下面的ISSSource的更多文章。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。