美国对关键基础设施的网络攻击警告

根据美国政府报告，高级持续威胁（APTS）是针对能源，核，水，航空和关键制造业的政府实体和组织。

美国国土安全部（DHS）和联邦调查局（FBI）颁发的报告载有妥协（IOC）和关于威胁署人工人使用的策略，技术和程序（TTP）的技术细节的指标受害者的网络。

关于关键国家基础设施（CNI）的网络攻击是对大多数政府的关注，并于2017年8月，英国政府宣布正在考虑与网络安全差的CNI提供者相同的综合罚款。

未能实施有效网络安全措施的基本服务提供者可根据英国政府审议的措施，超过1700万英镑或4％的全球营业额。

基础设施安全计划被视为2017年8月8日的数字，文化，媒体和体育（DCMS）的分析的一部分，以决定如何实施欧盟（欧盟）的网络和信息系统（NIS）指令2018年。

2017年6月，一份报告Bysecurity认证班次概述了，缺乏基于标准的技术安全测试，将工业控制环境和危重国家基础设施造成网络攻击的风险。

根据联合DHS / FBI报告，APT活动似乎是威胁演员的多级入侵运动，针对低安全和小型网络，以获得能源部门内的主要高价值资产所有者网络的访问权限和横向移动。

该报告称，基于恶意软件分析和观察到的IOC，该报告称DHS认为，这项活动始于2017年5月，仍然正在进行，威胁行为者正在积极追求他们的最终目标。

IOCs表示蜻蜓黑客集团，该集团已与欧洲，美国和加拿大的攻击攻击有关，可能会对该活动负责。

该报告旨在教育网络防御者并使他们能够识别和减少暴露于恶意活动。

该报告称，这项活动包括两个不同类别的受害者：分期和预期目标。最初的受害者是外围组织，如信任的第三方供应商，网络不太安全的网络。

威胁演员在针对他们最终预期的受害者时使用暂停目标的网络作为枢轴点和恶意软件存储库

这项活动中的威胁演员雇用了各种TTP，包括：

在实现进入分期目标后，该报告称，威胁演员安装了工具以执行其使命。

有一次，威胁演员安装了FortiClient的免费版本，这被认为是预期目标的VPN客户，并且与凭据收获的目标一致，观察到威胁演员丢弃和执行潮热的开源和免费工具，秘密块和crackmapexec。

威胁演员通过操纵.lnk文件来实现持久性，重复收集用户凭据。默认Windows功能使得要从本地Windows存储库加载图标。

威胁演员通过将图标路径设置为遥控服务器来利用此内置Windows功能。当用户浏览到目录时，Windows尝试加载图标并发起SMB（服务器消息块协议）认证会话。在此过程中，活动用户的凭据通过尝试的SMB连接传递。

报告称，威胁演员在虚拟桌面基础设施（VDI）和传统环境中使用了这一策略。

威胁演员通常使用Web Shell来危及公开的可用服务器以获得立足点进入内部网络。在Web和电子邮件服务器上都观察到此活动。然后，威胁演员将通过端口443建立加密连接到Web shell。连接后，威胁参与者将额外的恶意文件从威胁演员的服务器下载到公开的服务器。

在获得预期受害者的访问时，威胁演员在网络中进行了侦察操作。具体来说，威胁演员专注于识别和浏览预期受害者网络中的文件服务器。威胁演员观看了与ICS（工业控制系统）或监督控制和数据采集（SCADA）系统有关的文件。

Joel Brenner（MIT）高级研究研究员据乔尔布伦纳（Joel Brenner）（MIT）高级研究研究员，据依靠工业控制系统（ICS）的依赖于工业控制系统（IC）的临界部门，可能对所有部门的潜在灾难性的人类和经济影响。

“承担这些袭击的能力现在掌握在犯罪组织以及国家各国的手中，”他告诉欧伯克欧洲网络安全迫使克拉科夫。

“虽然有一定程度的威慑力影响国家各国从事这些东西，但美国安全局（NSA）的前检察官Brenner说，威慑不适用于犯罪组织。

DHS / FBI报告中的一般最佳实践建议包括：