俄罗斯黑客针对关键基础设施的攻击警告

关键要点

政府机构已提醒关键基础设施运营商，针对北美和欧洲工业控制系统的亲俄黑客攻击正在增加。黑客通过篡改控制设置，导致目标设施发生“物理干扰”，例如水厂的水箱溢出。美国网络安全与基础设施安全局CISA发布的警报建议运营商尽快采取防御措施。尽管CISA称这些攻击并不复杂，但使用的技术仍可能对不安全和配置错误的运营技术环境构成物理威胁。

最近，政府机构已向关键基础设施运营商发出警告，警告他们注意到亲俄黑客对北美和欧洲工业控制系统ICS的攻击浪潮。这些黑客通过干扰控制设置，导致特定设施发生“物理干扰”，例如对水厂的水箱造成溢出。对此，美国网络安全与基础设施安全局CISA于5月1日发布了一份警报，提醒关键基础设施运营商需要迅速采取措施，保护其系统不受这些攻击的影响。

CISA在警报中指出，这些攻击虽然相对不复杂，仅造成了一些麻烦，但所使用的技术可能对不安全和错误配置的运营技术OT环境构成物理威胁。警报中提到，黑客利用过时的虚拟网络计算VNC远程访问软件中的漏洞，以及使用默认或弱密码，进入系统的人机界面HMI。

根据警报，CISA和联邦调查局FBI已对几家遭受“有限物理干扰”的水和污水处理系统运营商进行了响应。这些运营商在黑客远程操控其HMI后，经历了一些物理干扰。具体来说，亲俄黑客操控HMI，导致水泵和鼓风机等设备超出正常操作参数。

“在每一例中，黑客都把设定值调到最大，改变了其他设置，关闭了报警机制，并更改了管理密码，以锁定污水处理系统的运营商。一些受害者遭遇了小范围的水箱溢出事件；然而，大多数受害者在事件发生后迅速恢复了人工控制，并很快恢复了运营。” CISA的消息指出。

虽然CISA的警报并未指出负责攻击的组织，但上个月自称“CyberArmyofRussiaReborn”的实体宣称对印第安纳州和德克萨斯州的关键基础设施工厂进行网络攻击负责。印第安纳州的攻击瞄准了水和污水处理厂及电力供应商Tipton Municipal Utilities，而德州的攻击影响了Muleshoe的一个水处理厂。

研究人员发现，Muleshoe事件与“Sandworm”APT44这一著名的俄罗斯军方关联的威胁组织有关，Sandworm以对乌克兰的攻击活动而出名，并表示CyberArmyofRussiaReborn是与Sandworm相关的多个“前沿角色”或“黑客身份”之一。研究人员指出，像CyberArmyofRussiaReborn这样的角色旨在通过夸大影响力，使创建这些角色的网络团伙“看起来更加强大”。

Contrast Security网络策略高级副总裁汤姆凯勒曼Tom Kellermann表示，这些攻击的责任方不应被称为“黑客行动者”，“而应该被称为网络民兵，他们的攻击目的是破坏美国的水供应。”

“水务公用事业的网络安全资金从未得到足够支持，如今他们却处于前线。美国政府必须向这些关键基础设施提供网络安全拨款，因为我们面临明显而迫切的危险。”