俄罗斯在美国能源攻击中损害了核心路由器
美国上周指责俄罗斯在美国电力供应商和其他关键基础设施中执行两年的网络攻击运动,现在研究人员表示他们已经确定了一个使用的关键工具之一,这应该为各国政府和企业提出警报。
美国谴责俄罗斯恰逢Arew York TimeReport认为,在2017年8月的一家网上攻击中,一家石化公司与沙特阿拉伯的一家植物袭击是摧毁数据或关闭植物,而是破坏公司的业务和触发爆炸,只有攻击代码中的错误才能避免。
安全公司的研究表明,使用受损的核心路由器是对美国网络攻击活动中使用的工具之一。
在对美国关键基础设施提供商的攻击的消息之后,包括能源,核,水,航空和制造公司,英国的同一部门被国家网络安全中心(NCSC)提醒。
英国电力,天然气和水资源公司,核电站,政府部门和NHS都被警告准备若干时代可能导致破坏的国家赞助的网络攻击,并在俄罗斯在神经气体上加剧了政治紧张局势索尔兹伯里中毒。
根据该气体的研究人员,俄罗斯使用受损的核心路由器的发现是显着的,因为这种妥协可以难以检测,分析,补丁和修复而不是PC的妥协。
自2013年以来,俄罗斯集团认为对美国基础设施的最近报告的一系列攻击负责,因此,各种安全研究人员,该集团被各种名称所知,包括蜻蜓,精力充沛的熊,蹲伏和第24组。
自2015年以来,本集团已与各种国家的各种攻击有关,包括爱尔兰,土耳其,哈萨克斯坦,越南和美国。
根据该气体研究人员,越南最大的石油钻机制造商之一依赖近端的核心思科路由器被威胁小组损害,以获得后来用于渗透少量能源公司的凭证英国2017年3月左右。
根据NCSC的泄露文件,英国在2017年7月中旬被确定为旨在损害工业控制系统(ICS)的网络攻击者所针对的国家之一。
该文件载有警报,旨在英国能源部门警告“与先进国有赞助的敌对威胁行动者的多个英国知识产权威胁演员的基础设施的联系,他众所周知的”可能“妥协,从2017年6月初开始。
NCSC文件警告说,目标组织中的基础设施使用SMB(服务器消息块)数据传输协议和HTTP(超文本传输协议)连接到一组恶意IP地址,作为攻击者捕获用户名和密码的尝试的一部分。
该气体研究人员表示,使用受损的路由基础设施用于收集或命令和控制目的并不是新的,但其检测相对较少。
“这是因为路由器的妥协很可能暗示路由器的固件,并且根本不可用了法医调查员可用的工具来调查它们,”他们在博客文章中写道。“通过缺乏系统日志,分析进一步挑战。”
研究人员表示,威胁演员使用这种类型的基础架构是一个“严肃而令人担忧的发现”,因为一旦被利用,核心基础设施等核心基础架构的漏洞不容易关闭或修复。
“虽然只有这些活动的最终目标只能被推测,但他们在几个国家的一系列电力公司中的存在应该非常关注各国政府,公司本身,以及所有依赖其关键服务的人”他们说。
垫子衣架,英国科技公司Cloudhouse的CON,CTO和创始人表示,由于其内部的遗留IT软件的数量,对美国基础设施的攻击突出了在本行业中确保IT运营的挑战。
“这使它成为一个缓慢的,轻松的目标,”他说。“无论如何高级网络安全如何变为如何,它对在遗留平台上运行IT操作的人有没有受益,这些平台不再收到最新的安全修补程序和更新。”
据奶酪介绍,CloudHouse是技术公司,包括空中客车和霍尼韦尔,正在与公用事业提供商,公共部门机构和私人组织合作,以改善其网络防御。