【安全资讯】美国发布针对其水务系统的网络威胁联合警报

引言

10月14日，美国联邦调查局 (FBI)、网络安全和基础设施局 (CISA)、环境保护局 (EPA) 和国家安全局 (NSA) 发布联合警报，报告了从 2019 年到 2021 年初，针对美国WWS部门（水和废水系统）的持续网络威胁，并提供了缓解措施。

简况

WWS设施可能容易受到以下常见策略、技术和程序 (TTP) 的影响，攻击者使用这些方式来破坏 IT 和 OT 网络、系统和设备：

• 鱼叉式网络钓鱼人员提供恶意负载，包括勒索软件。
• 利用不受支持的或过时的操作系统和软件。
• 利用具有易受攻击的固件版本的控制系统设备。

从 2019 年到 2021 年初，WWS部门遭受的网络入侵包括：

• 2021 年 8 月，攻击者使用Ghost变种勒索软件攻击加州WWS。勒索软件变种在系统中存在大约一个月后，在三个监控和数据采集 (SCADA) 服务器显示勒索软件消息时才被发现。
• 2021 年 7 月，攻击者使用远程访问将ZuCaNo勒索软件部署到缅因州 WWS部门的废水 SCADA 计算机。随后系统一直是手动运行的，直到SCADA 计算机通过本地控制和更频繁的操作员巡查恢复。
• 2021 年 3 月，攻击者在位于内华达州的 WWS 设施上部署了一种未知的勒索软件变体。勒索软件影响了受害者的 SCADA 系统和备份系统。SCADA 系统提供可见性和监控，但不是完整的工业控制系统 (ICS)。
• 2020 年 9 月，新泽西WWS 的工作人员发现，潜在的 Makop 勒索软件已经破坏了他们系统中的文件。
• 2019 年 3 月，堪萨斯州WWS 的一名前雇员，试图通过使用其在辞职时尚未撤销的用户凭据，远程访问WWS的计算机，从而威胁饮用水安全，但未成功。

近年来针对美国 WWS 设施的网络入侵表现出了两方面的主要威胁：

1. 内部威胁，来自持有不当有效凭证的现任或前任员工
2. 勒索软件攻击

缓解措施

为了保护WWS设施（包括美国和国外的国防部 (DoD) 水处理设施）免受攻击者的影响，CISA、FBI、EPA 和 NSA 强烈敦促组织实施以下缓解措施：

• WWS监控：监控出现在 SCADA 系统控件和设施数据屏幕上的不熟悉的数据窗口或系统警报、异常操作参数、原因不明的 SCADA 系统重新启动等；
• 远程访问缓解措施：采用多因素身份验证、启用日志记录、关闭与远程访问服务相关的不需要的网络端口等；
• 网络缓解措施：在 IT 和 OT 网络之间实施并确保网络切割、开发/更新网络地图；
• 规划和运营缓解措施：确保组织的应急响应计划考虑到网络攻击对运营造成的所有潜在影响、允许员工通过桌面练习获得决策经验等；
• 安全系统缓解措施：安装独立的网络物理安全系统。