2022年4月20日,美国、澳大利亚、加拿大、新西兰和英国的网络安全当局,即所谓的“五眼”政府-宣布警报AA22-110A的发布,a联合网络安全咨询(“咨询”)警告世界各地的关键基础设施组织,俄罗斯对乌克兰的入侵可能会使他们“受到来自俄罗斯国家支持的网络行为者或与俄罗斯结盟的网络犯罪集团的恶意网络活动的增加”。本建议旨在更新2022年1月联合网络安全咨询该报告概述了俄罗斯国家支持的网络行动以及战术、技术和程序(“TTPs”)。
在公告中,当局敦促关键基础设施网络保卫者,特别是“通过加强网络防御来准备和减轻潜在的网络威胁”,正如咨询报告中建议的那样。
概述。报告指出,“不断发展的情报”表明,俄罗斯政府正在探索潜在网络攻击的选项,一些网络犯罪组织最近公开承诺支持俄罗斯政府,并威胁要代表俄罗斯政府开展网络行动。该报告总结了5个国家支持的高级持续威胁(“APT”)组织、2个与俄罗斯结盟的网络威胁组织和8个与俄罗斯结盟的网络犯罪组织使用的ttp。此外,它还提供了一系列缓解措施,并建议关键基础设施组织“立即”实施某些缓解措施。
俄罗斯国家支持的网络行动。该报告指出,俄罗斯国家支持的网络行为者已经“证明有能力”破坏网络;保持对网络的长期、持久访问;从信息技术(“IT”)和操作技术(“OT”)网络中窃取敏感数据;并通过部署破坏性恶意软件破坏关键工业控制系统(“ICS”)和OT网络。该报告详细介绍了俄罗斯5个APT集团:
俄罗斯联邦安全局(“FSB”)俄罗斯联邦安全局(FSB)是苏联克格勃(KGB)的前身,它针对多个关键基础设施部门的各种组织进行了恶意网络行动,包括能源部门(包括美国和英国公司)、交通部门(包括美国航空组织)、水和废水系统部门以及国防工业基地部门。该报告指出,FSB还将美国政府和军事人员、私人组织、网络安全公司和记者作为攻击目标。常见的ttp包括利用面向互联网的基础设施和网络设备,对面向公众的web应用程序进行暴力攻击,并利用受损的基础设施,例如目标经常访问或拥有的网站。
俄罗斯对外情报局(“SVR”): SVR同样针对多个关键基础设施组织,尽管该咨询没有具体说明这些组织运营的部门。SVR的ttp包括针对Windows和Linux系统的定制和复杂的恶意软件,以及可以绕过特权云帐户上的多因素身份验证(“MFA”)的受损网络内的横向移动。美国、英国和加拿大已经将SolarWinds Orion供应链的泄露归咎于SVR。
俄罗斯总参谋部情报总局(“GRU”),第85主要特别服务中心(“GTsSS”): GTsSS主要针对政府组织、旅游和酒店实体、研究机构、非政府组织和关键基础设施实体。它的ttp包括获取凭据,通过鱼叉式网络钓鱼邮件和欺骗用户输入账户名和密码的欺骗网站访问目标。
格鲁乌特种技术中心(GTsST):众所周知,GTsST的目标是关键的基础设施实体,包括能源、运输和金融服务部门,以及属于北大西洋公约组织(“北约”)的成员国和西方政府和军事组织。GTsST以使用破坏性或破坏性攻击而闻名,如分布式拒绝服务(“DDoS”)和雨刷恶意软件。
俄罗斯国防部化学与力学中央科学研究所(“TsNIIKhM”): TsNIIKhM是俄罗斯国防部的一个研究组织,但该报告指出,它已经开发了破坏性的ICS恶意软件,称为Triton、HatMan和TRISIS。
与俄罗斯结盟的网络威胁组织。该报告针对两个国家支持的网络威胁组织:原始熊和有毒熊。前者以乌克兰组织为目标,后者以北约政府、国防承包商和“其他有情报价值的组织”为目标。值得注意的是,该咨询解释说,负责该咨询的政府都没有正式将这些组织归咎于俄罗斯政府,但似乎承认这些组织与俄罗斯政府是一致的。
与俄罗斯结盟的网络犯罪集团。这份报告详细列出了与俄罗斯政府结盟的8个网络犯罪组织。报告指出,这些组织通常出于经济动机,主要通过勒索软件和DDoS攻击,对世界各地的关键基础设施组织构成威胁。该报告指出,尽管这些组织“可能为支持俄罗斯政府而开展网络行动……网络犯罪分子很可能继续主要基于经济动机进行活动,其中可能包括针对政府和关键基础设施组织。”
的CoomingProject:该组织通过曝光或威胁曝光泄露的数据来勒索受害者。为了回应针对俄罗斯的网络攻击,commingproject承诺支持俄罗斯政府。
Killnet: Killnet同样承诺支持俄罗斯政府。它还声称对2022年3月针对美国机场的DDoS攻击负责,这是为了回应美国对乌克兰的物资支持。
木乃伊的蜘蛛:该组织运营着一个先进的模块化僵尸网络,名为Emotet,主要功能是为其他网络犯罪组织提供下载和分发服务。Emotet已被用于针对世界各地的“金融、电子商务、医疗保健、学术界、政府和技术组织的网络”。
咸的蜘蛛:该组织还运营一个名为Sality的僵尸网络,它使用高级点对点恶意软件加载程序。SALTY SPIDER对乌克兰讨论俄罗斯入侵乌克兰的网络论坛进行了DDoS攻击。
史高丽蜘蛛:该组织采用“恶意软件即服务”(malware-as-a-service)模式,包括维护命令和控制基础设施,并将其恶意软件和基础设施的访问权出售给附属机构。SCULLY SPIDER还操作DanaBot僵尸网络,该僵尸网络有效地充当其他恶意软件的初始访问向量,并可能导致勒索软件部署。该组织主要针对美国、加拿大、德国、英国、澳大利亚、意大利、波兰、墨西哥和乌克兰的组织。
斯莫科的蜘蛛:该组织操作一个恶意机器人,称为Smoke Loader或Smoke bot,用于上传其他恶意软件。该组织的机器人被用来分发恶意软件,用于对乌克兰目标进行DDoS攻击。
向导的蜘蛛:该组织开发了TrickBot恶意软件和Conti勒索软件。该组织的目标包括建筑和工程公司、法律和专业服务、制造业、零售业、美国医疗保健和应急网络,并公开承诺支持俄罗斯政府,威胁那些被认为“对俄罗斯政府发动网络攻击或战争”的国家的关键基础设施组织,并威胁“对他们认为的针对俄罗斯人民的攻击进行报复”。
Xaknet团队Xaknet团队自2022年3月起才开始活跃,并表示他们将“专门为[俄罗斯]的利益”工作。该组织威胁要以乌克兰组织为目标,以回应外界认为的针对俄罗斯的攻击,并在2022年3月泄露了一名乌克兰官员的电子邮件。
移植。该咨询报告提供了一些缓解措施,建议关键基础设施组织“立即”实施:(1)更新软件;(2)最大限度地实施MFA,并要求强密码;(3)保护和监控“有潜在风险的服务”,如远程桌面协议;(4)为终端用户提供潜在网络威胁的意识和培训。
作为长期缓解措施的一部分,咨询报告建议实施网络分段,根据角色和功能分离网络段,并实施一系列更详细的缓解措施,涉及网络事件准备、身份和访问管理、保护性控制和体系结构以及漏洞和配置管理。
应对网络事件。该咨询报告还建议,关键基础设施组织的防御者“在识别潜在恶意活动指标方面进行尽职调查”,并在检测到可能的APT或勒索软件活动后采取具体步骤。
这些步骤包括:(1)立即隔离受影响的系统;(2)针对DDoS攻击,识别并阻断可疑攻击者IP流量,启用防火墙限速,并通知组织的互联网服务提供商并启用远程触发黑洞;(3)安全备份;(4)收集和审查相关的日志、数据和工件;(5)考虑聘请第三方IT机构;(6)向适当的网络和执法部门报告事件。该报告还“强烈反对”向犯罪分子支付赎金,指出这种付款并不总是能成功恢复受害者的文件,而且这种付款可能“鼓励对手瞄准其他组织,鼓励其他犯罪分子参与分发勒索软件,和/或资助非法活动。”
额外的资源。该报告还提供了关于各种主题的许多其他资源的链接,包括:俄罗斯国家支持的恶意网络活动;其他恶意和犯罪网络活动;防范和应对勒索软件;破坏性的恶意软件;事件反应;为拥有OT/ICS网络的关键基础设施所有者和运营商提供额外资源。
下一个步骤。美国网络安全、执法和情报机构最近发布了大量警报和建议,警告俄罗斯网络威胁的严重性。本报告提供了美国及其盟国最近对俄罗斯网络行动的情报收集的独特详细情况,并强调了与俄罗斯有关的恶意网络活动的广泛范围以及此类活动构成的重大威胁。组织,特别是关键基础设施部门以及运营关键ICS和OT网络的组织,应考虑根据这些威胁评估其网络安全态势,包括组织的网络安全态势是否存在缺口,以及是否有必要实施咨询中确定的任何特定缓解措施。