当地时间12月2日,美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、国家安全局(NSA)、环境保护局(EPA)和以色列国家网络安全局(INCD)联合发布网络安全咨询(CSA),提请人们注意针对操作技术(OT)设备的持续恶意网络活动。该咨询重点关注隶属于伊朗政府伊斯兰革命卫队(IRGC)的高级持续威胁(APT)网络黑客的行为,敦促关键基础设施资产所有者和运营商采取具体措施加强安全。这些措施包括实施多重身份验证、使用强而独特的口令以及检查可编程逻辑控制器(PLC)的默认口令,以最大限度地降低恶意活动的风险。对于包括美国供水和废水处理系统(WWS)设施在内的所有组织来说,仔细审查本联合CSA并实施建议的行动和缓解措施非常重要。虽然缓解措施主要集中于针对Unitronics PLC的威胁行为者活动,但它们适用于所有面向互联网的PLC。通报称他们观察到了2023年9月13日至10月30日期间的活动,CyberAv3ngers在Telegram频道显示的针对以色列的多次网络攻击的合法和虚假声明。CyberAv3ngers的目标是水务、能源、航运和分销领域的以色列PLC。此前几天,美国当局调查了多起疑似源自与德黑兰有关的名为CyberAv3ngers的组织的违规行为。上周,该组织声称对宾夕法尼亚州阿里基帕市政水务局的袭击事件负责。此前,英国NCSC和爱尔兰NCSC了也分别发布通告,警示针对Unitronics PLCs的类似风险。根据联合咨询,至少自2020年以来,CyberAv3ngers一直在针对以色列的关键基础设施部门开展行动,包括水、能源、航运和物流。他们最近才开始集中攻击利用以色列技术的美国设施。安全咨询通报指出,自2023年10月18日以来,与CyberAv3ngers相关的所罗门士兵声称对破坏以色列50多个服务器、安全摄像头和智能城市管理系统负责;然而,大多数这些说法都被证明是虚假的或错误的。该组织声称使用名为“Crucio”的勒索软件来攻击网络摄像头软件在端口7001上运行的服务器。CyberAv3ngers声称对针对关键基础设施组织的多次攻击负责。该组织声称对2020年开始的以色列网络攻击负责。CyberAv3ngers错误地声称他们破坏了以色列的多个关键基础设施组织。据报道,CyberAv3ngers还与另一个与IRGC相关的组织(称为所罗门士兵)有联系。该通报补充说,2023年11月22日开始,IRGC网络攻击者可能通过使用默认口令破坏可访问互联网的设备,访问了多个位于美国的WWS设施,这些设施通过HMI操作Unitronics Vision系列PLC。目标PLC显示了篡改信息:“你已被黑客攻击,与以色列一起倒下。每一件‘以色列制造’的设备都是Cyberav3ngers的合法目标。”安全通报披露,最近,CyberAv3ngers开始针对运行Unitronics PLC的美国WWS设施。威胁行为者通过人机界面(HMI)破坏了Unitronics Vision系列PLC。这些受感染的设备使用默认口令公开暴露在互联网上,并且默认使用TCP端口20256。由于其控制和监控功能的远程性质,这些PLC和相关控制器经常暴露在外部互联网连接中。入侵控制的重点是破坏控制器的用户界面,并可能导致PLC无法运行。 鉴于此,该安全咨询通告建议,通过这种类型的访问,可以进行更深入的设备和网络级别的访问,并且可以对流程和设备产生额外的、更深远的网络物理影响。目前尚不清楚是否有意或实现了深入这些PLC或相关控制网络和组件的额外网络活动。组织应该考虑并评估其系统的这些可能性。美国、英国、爱尔兰的网络安全机构和情报机构建议关键基础设施组织(包括WWS部门设施)改善组织的网络安全态势,以防御CyberAv3ngers 活动。这些缓解措施与CISA和美国国家标准与技术研究所(NIST)制定的跨部门网络安全绩效目标(CPG)相一致,该目标提供CISA和NIST建议所有组织实施的最低限度的实践和保护集。 首先,考虑更改PLC和HMI上的所有默认口令并使用强口令。他们还必须确保Unitronics PLC默认口令未被使用,并断开PLC与面向公众的互联网的连接。其次,建议在适用的情况下实施多重身份验证才能访问OT网络。如果需要远程访问,则组织必须在PLC前面实施防火墙和/或虚拟专用网络(VPN),以控制网络访问并创建PLC逻辑和配置的强大备份,以实现快速恢复。他们还必须将Unitronics和其他PLC设备更新为制造商的最新版本,并确认第三方供应商正在应用上述建议的对策来减轻这些设备和所有已安装设备的暴露。 第三,建议针对映射到MITRE ATT&CK for Enterprise框架的威胁行为来演练、测试和验证组织的安全计划。这些机构还建议测试现有的安全控制清单,以评估它们针对ATT&CK技术的表现。第四,设备制造商应落实设计安全和默认安全的相关要求;尽管使用Unitronics(包括重新命名的Unitronics)PLC设备的关键基础设施组织可以采取措施降低风险,但设备制造商有责任构建设计和默认安全的产品。设备制造商应通过实施安全设计策略来优先考虑客户的安全。 通过这样做,软件制造商可以确保其产品从一开始就是安全的,从而使客户无需在配置设置、购买额外的安全软件、监控日志和执行例行更新方面投入额外的资源。1、https://industrialcyber.co/cisa/us-israeli-security-agencies-warn-of-iranian-irgc-executing-malicious-cyber-activity-using-ot-devices/2、https://www.ncsc.gov.uk/news/ncsc-statement-following-exploitation-of-unitronics-programmable-logic-controllers3、https://www.ncsc.gov.ie/pdfs/2312010119_Unitronics.pdf4、https://www.ic3.gov/Media/News/2023/231201.pdf
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247540994&idx=3&sn=fa5d8ce19503ae8dc2d94d60961a060a&chksm=c1e9ad53f69e244522c90b81276dfc7313068c722e6bfee11fe7fb189116c4b3fa1497888ee6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh