專門滲透各國關鍵基礎設施OT網路的中國APT駭客組織Volt Typhoon (伏特颱風)已經對多家美國電力公司進行了偵查和列舉分析。外媒報導,Dragos公司近日發現伏特颱風近期瞄準非洲國家的電力傳輸和配電機構。
該公司表示,又名Voltzite的伏特颱風已經「敲開」目標對象的工控系統防禦大門。但目前的攻擊足跡僅發現連接到IT網路的OT系統。
這些發現證實了美國政府最近的聲明:受國家資助的網路威脅正在自我強化部署,以利在發生軍事衝突時,對目標國家破壞電網並造成混亂。
Dragos認為Volt Typhoon是A級球隊,有策略、有資源,且非常精明。Voltzite對OT系統的攻擊實例驗證美國政府對伏特颱風的關注也驗證它們瞄準電力運輸站點的攻擊策略。
案例研究:Volt Typhoon潛伏在中型電力公司內
Dragos調查案例中,Voltzite入侵了美國一家中型電力公司並在其中藏匿超過300天。分析資料顯示,目前伏特颱風正在獵取資料,目標是掌握進入實體控制系統的資訊。
Dragos表示,Voltzite竊取了大量OT數據和見解,以及與SCADA、GIS相關的資料,這些對未來的破壞性攻擊非常有用。很明顯的,Voltzite正考慮癱瘓關鍵目標及電力。目前Dragos已將相關的情資提供給美國政府參考。
相關文章:「伏特颱風」強度再增加! 近一個月系統性攻擊美、英、澳關鍵基礎設施
Volt Typhoon擴大攻擊
自2023年5月被公開指認以來,Volt Typhoon化名為Bronze Silhouette、Vanguard Panda和UNC3236已入侵關島、多個電信提供商、軍事基地和美國緊急管理組織等。
Dragos也發現Volt Typhoon正在擴張,
不僅鎖定美國電力公司以及非洲目標,而且與UTA0178組織攻擊行動重疊。UTA0178在23年12月利用Ivanti VPN零日漏洞攻擊ICS目標。
此外,上個月Dragos發現UTA0178正在對一家美國電信提供商的外部網路進行列舉分析,並發現Voltzite滲透美國某大城市的緊急服務地理資訊系統(GIS)網路的證據。
Dragos認為Voltzite已有具體的破壞能力,且挑選的攻擊目標,包括衛星、電信和電力發電、傳輸和配電。如果這些關鍵基礎設施癱瘓,將對美國人的生活造成最大破壞。
Voltzite的隱蔽網路入侵戰術
Dragos的調查顯示,Voltzite在進入網路後使用各種技術進行憑證訪問和橫向移動。與Volt Typhoon威脅一樣,特性是利用寄生攻擊(LotL)避免檢測。
Voltzite戰術其一是使用csvde.exe,這是一個用於使用CSV檔案格式導入和導出Active Directory服務數據的本地Windows二進位檔案。在其他案例中,它使用Volume Shadow Copies ,即Windows作業系統作為備份的複製檔案,以及從網路控制器中提取NTDS.dit Active Directory資料庫,包含用戶帳戶資料、群組和電腦,最重要的是,包含用戶密碼的雜湊值。
Dragos指出,在正常情況下,NTDS.dit檔案無法打開或複製,因為機器上的Active Directory正在運行。為了規避這種保護機制,駭客使用Volume Shadow Copies另存操作系統的複製映射檔案後,竊取該檔案進行雜湊破解或使用傳遞雜湊技術進行身份驗證。
公用事業組織應立即採取防禦行動
儘管破壞意圖很明確,但到目前為止,Dragos還沒有看到Voltzite成功顯示出可以破壞、降級或破壞ICS/OT資產或運營的行為或能力。
專家建議電力公司採取行動加強網路防禦,制定針對該行業的緊急響應計劃、部署網路安全監控、管理遠端訪問、實施風險管理為基礎的漏洞管理計畫等。
本文轉載自Dark Reading。
2024 OT資安年會
台灣製造業是重要的產業,。數位轉型下更多的數據上雲, 地緣政治風險, 加上過去一年來的AI風潮, OT資安將會面臨更嚴苛的挑戰。 企業如何在受攻擊後能快速復原,達到從設備到供應鏈的資安韌性已經成為必須重視的課題。2024年03月28日與資安人媒體一同關注OT資安,打造營運不中斷的資安防護網。點我看活動資訊! |