有關APT攻擊以工業控制系統 設備為目標
就網絡安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)發布有關進階持續性威脅(APT) 攻擊者以工業控制系統(ICS)/ 監控和數據採集(SCADA)設備為目標的提示,Mandiant 發布了關於 《極罕見和危險的網絡攻擊》工具的新研究,稱為“INCONTROLLER”。研究主要針對機構發現相關攻擊的應對建議,詳情請瀏覽https://www.mandiant.com/resources/incontroller-state-owned-ics-tool 。
攻擊者透過INCONTROLLER 內的三種工具嵌入在關鍵工業行業裡的不同類型機器中(例如,發電廠、銑床(milling machine)、用於許多不同製造部的工業壓力機等等),並向各種不同的工業控制系統 (ICS) 設備發送指令。攻勢者可透過單一工具進行攻擊,或透過三個工具來攻擊個別機構環境以造成不同的影響:-
- 關閉主要機器操作
- 影響工業營運流程
- 阻礙安全控制器對機器造成物理破壞,並有可能導致人員傷亡
該提示更指出,INCONTROLLER 的特性與俄羅斯先前網絡攻擊中使用的惡意軟件如出一轍。因此,Mandiant 的專家認為INCONTROLLER 對烏克蘭、北約成員國和其他積極應對俄羅斯入侵烏克蘭的國家構成了極大威脅。
以下是 Mandiant 情報分析總監 Nathan Brubaker 總結攻擊發現的聲明:
「Mandiant 與施耐德電氣(Schneider Electric)合作,最近分析了一種針對工業控制系統 (ICS) 的新型攻擊工具,稱為 INCONTROLLER,主要嵌入在多個行業裡不同類型機器中的指定施耐德電氣和歐姆龍(Omron)設備。 INCONTROLLER 是一種極罕見和危險的網絡攻擊能力,繼 STUXENT、INDUSTROYER 和 TRION 之後,作為第四個針對ICS的惡意軟件。」
「INCONTROLLER 很可能由國家支援,包含具破壞、影響和潛在物理破壞的相關功能。雖然我們無法確定惡意軟件的性質,但我們注意到該攻擊與過往俄羅斯攻擊ICS行為一致。 INCONTROLLER 對利用目標和受影響設備的機構做成重大風險。當ICS 設備受到攻擊,機構需即時採取行動,採用供應商特定的對策、發現方法和搜尋工具。」