FBI怒怼俄罗斯黑客：别想动我们的关键基础设施

近日，据外媒 securityaffairs 报道，俄罗斯的一个黑客组织被美国政府盯上了，这帮黑客也瞄上了美国的工控设施。DHS（美国国土安全部）和FBI（联邦调查局）联合发布了一项网络安全警报，主要目的就是警告俄罗斯黑客别对美国关键基础设施动心思，再有动作我们可就不客气了。

美国CERT（计算机安全应急响应组）指出，几个来自俄罗斯的高级黑客组织正打算对美国的多项基础设施进行APT攻击，并且已经被他们发现，分别是Dragonfly（蜻蜓）, Crouching Yeti（蹲伏雪人）和Energetic Bea（精力充沛的熊）。

编号为 TA18-074A 的警报称“这些网络活动正在针对美国重要的能源和其他基础设施进行攻击”。

美国计算机应急响应小组(US-CERT)报告详细描述了疑似俄罗斯的攻击者是如何策划并实施对能源设施的长期网络攻击的，并提供了防止此类事件再次发生的可行措施。

报告称：
国土安全部(DHS)和联邦调查局(FBI)将这些攻击活动定性为俄罗斯政府黑客的多阶段入侵行动，他们在小型商业设施网络中部署恶意软件，进行鱼叉式网络钓鱼攻击，最终获取对能源行业网络的远程访问权。

US-CERT宣称，一旦黑客获取到访问权，对方就会进行网络侦察，在网络中横向移动，收集工业控制系统(ICS)相关的信息。

报告对黑客的行动步骤进行了详细描述，包括具体的方法、其服务器和存储库的IP地址，以及完整的攻击指标(IOC)信息。
发起这轮攻击的黑客以合法账户发出网络钓鱼邮件，在水坑攻击域名上加载恶意软件和凭证收集漏洞利用程序，并在有可能泄露目标重要信息的公开网站上仔细挖掘。

一旦进入系统，黑客就会将之布置成对最终目标发起攻击的集结待命区。他们会在其中开辟软件暂存地，创建虚假账户，并布署监测程序。

染指最终目标之后，黑客会先进行一番侦察监视，收集在用软件、凭证和控制过程的信息。这些信息通过SMB协议渗漏到远程服务器上，然后，黑客再执行一系列动作掩盖其踪迹。

US-CERT已经在报告中列出解决方法：
禁用所有SMB协议，以及 TCP 139和445端口，还有UDP137端口；
在边界网关设备上禁用基于Web的分布式编辑和版本控制(WebDAV)协议；
监视VPN异常行为；
分隔关键网络/系统和业务系统；
仅使用带高级日志的PowerShell 5；
禁用对管理员账户的外部访问；
实现双因子身份验证。

侵入US-CERT描述的控制系统并没有人们想象中的那么难。

CyberX工业网络安全副总裁菲尔·内瑞表示：
“这些网络从设计上就不安全，完全依赖物理隔离之类的老旧观念。但其实很多物理隔离网络中都有通向互联网的连接。”

安全问题绝大部分是源于老旧设备和厂商不再支持的操作系统。现有老旧系统能够可靠地执行所需功能，这就导致很多企业不愿意升级或替换掉这些。其结果是：企业运行着一旦操作系统升级就无法正常工作的应用程序，而且不愿打上补丁。但是，技术发展日新月异的时代，周围环境都已经发生翻天覆地的变化了，再沿用这些老旧设备和系统无异于裸奔，丝毫不受保护。

优炫操作系统安全增强系统（简称RS-CDPS）通过安装在服务器的安全内核保护服务器数据，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计功能，不用更改操作系统就可以安装，提供信息系统主动防护功能，操作方便、易于系统管理和安全管理。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理，为管理人员提供方便，可以保障客户的服务器安全、持续、长效运行。

优炫工业安全网关（简称UXSG）设备集工业协议网络交换、数据传输加密、病毒侦测、防DoS攻击、流量控制、内容过滤、应用程序管制、AAA认证、IPSec VPN、IPS（Intrusion Prevention System）、IPv6支持等诸多功能于一体的新一代工业安全网关产品。广泛适用于电力、石油、化工、军工、制造等各行业。