https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

鎖定攻擊關鍵基礎設施之4個新駭客組織,其一之惡意程式曾攻擊台灣企業

2021 / 03 / 11
編輯部
鎖定攻擊關鍵基礎設施之4個新駭客組織,其一之惡意程式曾攻擊台灣企業
資安業者Dragos發表「2020工業控制系統安全年度報告」,列舉4個鎖定關鍵基礎設施之新駭客組織,分別為Stibnite、Talonite、Kamacite及Vanadinite。

第1個新駭客組織Stibnite鎖定亞塞拜然(Azerbaijan)電力公司之風力渦輪機,由於亞塞拜然電力公司與烏克蘭風力發電場共享技術,因此研究人員認為烏克蘭風力發電廠之供應商與維護者亦可能為其攻擊目標。

第2個新駭客組織Talonite鎖定美國電網,該組織透過電網相關信件主旨進行網絡釣魚行動,誘使使用者下載惡意程式。

第3個新駭客組織Kamacite鎖定美國能源公司,Dragos認為Kamacite與駭客組織Sandworm相關,後者為發起2015年與2016年烏克蘭斷電事件之攻擊組織。

第4個新駭客組織Vanadinite鎖定北美、亞洲、歐洲及澳洲等國之能源、製造及運輸部門,目的為蒐集訊息,包括與ICS流程與設計相關資訊,駭客可透過相關資訊針對目標制定攻擊策略。此外,Dragos認為Vanadinite可能為勒索軟體ColdLock製造者,該惡意程式曾用於攻擊台灣企業。

Dragos的安全建議

Dragos根據報告中的經驗總結,推薦了5個關鍵的OT資安倡議。
  1. 增加OT網路可視性
    可見性包括網路監視、主機日誌記錄和維護收集管理框架(CMF)。
  2. 確定“皇冠”資產的優先順序
    到ICS環境的外部路由網路連接被認為是物理隔離的。“皇冠寶石”分析確定了影響關鍵物理過程的數位攻擊路徑。
  3. 增強事件回應能力
    42%的事件回應服務專案發現組織沒有合適的事件回應計畫(IRP), 75%難以公佈網路事件。
  4. 驗證網路隔離有效性
    這包括IT和OT網路之間的薄弱或隔離、允許的防火牆規則和外部路由網路連接等問題。
  5. 將IT和OT的憑證管理分開
    這包括IT和OT之間共用的帳戶、默認帳戶和供應商帳戶。

本文轉載自NCCST。