说起 LockerGoga 勒索软件, 其实这也不是第一次出现了. 初次应该是在 2019 年 1 月 24 日, 黑客利用恶意软件感染了 Altran Technologies 的系统, 并通过公司网络传播, 影响了一些欧洲国家的运营. 当时为了保护客户数据和自己的资产, Altran 决定关闭其网络和应用程序.
据报道, 3 月 18 日, 挪威海德鲁公司 (Norsk Hydro) 在美国和欧洲的业务受到严重的勒索软件攻击, 随后该公司被迫关闭了几条自动化生产线. 发现问题后, 安全人员隔离了所有工厂和操作, 并切换到手动操作模式, 以确保系统安全运行. 有关该公司网络攻击的新闻报道致使该公司股价在全球现货市场铝价上涨超 1% 的情况下反而下跌近 3%. 挪威网络安全主管机构 -- 挪威国家安全局向媒体证实: LockerGoga 勒索软件是本次感染的源头. Norsk Hydro 号称旗下拥有世界最大炼铝厂, 此次勒索软件攻击很有可能导致全球铝市场面临动荡.
一波未平一波又起, 近日, 美国瀚森化工公司 (Hexion Specialty Chemicals) 和美国有机硅巨头迈图集团 (Momentive) 被爆出遭到勒索软件的袭击. 遭受勒索软件攻击的计算机上的数据可能已经丢失, 并且该公司已经订购了数百台新的计算机. 在将迈图相关的赎金消息与已知的 LockerGoga 攻击交叉分析后, 发现语言和格式相同, 因此攻击者很有可能是来自同一团伙.
事件分析
LockerGoga 不是初来乍到的新客
说起 LockerGoga 勒索软件, 其实这也不是第一次出现了. 初次应该是在 2019 年 1 月 24 日, 黑客利用恶意软件感染了 Altran Technologies 的系统, 并通过公司网络传播, 影响了一些欧洲国家的运营. 当时为了保护客户数据和自己的资产, Altran 决定关闭其网络和应用程序.
因为事件刚刚发生, 目前尚未知该勒索软件通过什么途径进行传播. 而勒索软件一般会针对 DOC,DOT,WBK,DOCX,DOTX,DOCB,XLM,XLSX,XLTX,XLSB,XLW,PPT,POT,PPS,PPTX,POTX,PPSX,SLDX 和 PDF 文件进行加密. LockerGoga 勒索软件也是一样, 当文件被加密时, 原件被删除并替换为加密数据, 加密数据存储为具有 "* .LOCKED" 文件扩展名的文件.
图一 被加密的文件 1
图二 被加密的文件 2
嫌疑人猜想:
1 号嫌疑人: 连内裤都能扒出来的社会工程学
世界闻名的黑客凯文. 米特尼克在《欺骗的艺术》中曾提到, 人为因素才是安全的软肋. 很多企业, 公司在信息安全上投入大量的资金, 最终导致数据泄露的原因, 往往却是发生在人本身. 你们可能永远都想象不到, 对于黑客们来说, 通过一个用户名, 一串数字, 一串英文代码, 就可以完成一次攻击. 社会工程师就可以通过这么几条的线索, 通过社工攻击手段, 加以筛选, 整理, 就能把你的所有个人情况信息, 家庭状况, 兴趣爱好, 婚姻状况, 你在网上留下的一切痕迹等个人信息全部掌握得一清二楚. 而这次 LockerGoga 勒索软件的再次出现, 会不会又是利用熟人或者散落在地上的 U 盘进入到 Norsk Hydro 的工控系统中, 进而影响了他整个的业务系统.
2 号嫌疑人: 硬件, 软件, 服务处处危险的供应链
物联网等技术的兴起给我们的供应链系统带来了网络攻击的风险, 供应链也逐渐成为网络攻击的一大重点目标.
工业控制系统的硬件方面, 底层核心技术掌握在少数几家公司手中, 存在安全不可控风险. 软件方面, 漏洞层出不穷, 工业环境下未及时升级打补丁, 存在采购前植入恶意代码的风险. 技术服务方面, 工业企业系统运维依赖于第三方. 在服务过程前未对服务人员背景进行调查, 在服务过程中没有一套完整的管理流程, 在服务结束后企业核心数据滞留于第三方, 存在第三方服务时引入攻击路径的风险.
与其它金属相比, 铝的生产只由少数几家公司主导, 这意味着如果铝生产出现问题, 铝产业链将面临较大的中断风险. 随着制造过程向全球扩散, 形势开始变得越来越复杂, 使得企业不得不应对网络攻击造成的风险.
而作为全球最大铝生产商 Norsk Hydro 会不会因为工业控制系统供应链的某一个环节出现了问题, 使勒索软件有机可乘呢?
事件启示
铝行业是重要的工业金属行业, 是国民经济重要的一环. 当前, 铝行业正处于转变发展方式的关键阶段, 工控安全是行业良性发展的重要保障. 两起工控安全事件的发生带给我们以下几点启示:
加快法规, 标准落地, 把工控安全摆在更加突出的位置
随着工业互联网的深入推进, IT 技术与 OT 技术深度融合, 暴露在互利网上的工业资产越来越多, 针对工控系统有组织, 有目的的网络攻击不断出现, 我国工业信息安全形势亦不容乐观. 为应对当前工业信息安全领域的严峻形势和挑战, 党中央站在国家安全的高度, 对保障工业信息安全作出战略性, 前瞻性部署. 随着《中华人民共和国网络安全法》的出台,《国家关键信息基础设施安全保护条例》《网络安全等级保护条例》均进入报批阶段, 建议在充分征求意见的基础上尽快发布, 为工控安全工作的开展提供依据.
凝聚工控安全各方力量, 落实工控安全行动计划
《工业控制系统信息安全行动计划(2018-2020 年)》为工业互联网安全保障工作制定了时间表和路线图. 计划提出到 2020 年, 全系统工控安全管理工作体系基本建立, 全社会工控安全意识明显增强. 计划的落实需要科研院所, 高校, 工业企业, 工控安全企业, 等多方面的参与, 形成工控安全的合力. 在工控安全人才培养方面, 有赖于 IT 和 OT 两方面人才与资源的结合, 需完善高校专业设置, 培养复合型人才. 在技术研究方面, 开展体系标准建设, 研发工控安全防护技术工具集, 开展防护能力建设试点示范. 在企业安全建设方面, 支持工业企业申请试点项目, 将工控安全纳入到企业生产安全管理之中, 对企业面临的各类风险综合管控. 在项目落地方面, 支持工控安全企业综合运用法规, 政策, 标准, 在项目中研究方法论, 形成可推广可复制的解决方案.
构建工控安全防护体系, 全方位保护工业企业核心资产
做好工业企业的信息安全绝对不是一朝一夕的事情, 这是一个需要长期规划, 长期运营的过程. 工业控制系统作为工业企业的核心资产, 不仅要做好安全技术防护方面的工作, 更要注重安全管理体系的建设, 绿盟科技工控安全咨询小组的专家提出了以下建设意见:
构建 IPDRR 能力框架
信息安全体系设计总体思路: 针对企业防护对象框架, 通过企业组织体系, 管理体系, 技术体系的建设, 逐步建立企业风险识别能力, 安全防御能力, 安全检测能力, 安全响应能力与安全恢复能力, 最终实现风险可见化, 防御主动化, 运行自动化的安全目标, 保障企业业务的安全.
IPDRR 能力框架模型包括风险识别 (Identify), 安全防御(Protect), 安全检测(Detect), 安全响应(Response) 和安全恢复 (Recovery) 五大能力. IPDRR 能力框架实现了 "事前, 事中, 事后" 的全过程覆盖, 从原来以防护能力为核心的模型, 转向以检测能力为核心的模型, 支撑识别, 预防, 发现, 响应等, 变被动为主动, 直至自适应 (Adaptive) 的安全能力.
落实《工业控制系统信息安全防护指南》的要求
《工业控制系统信息安全防护指南》整体借鉴了等级保护的思想, 具体提出了十一条三十款要求, 贴近实际工业企业真实情况, 务实可落地. 针对主体目标要求落实工控安全责任制, 加强供应链管理; 针对客体目标要求落实从资产安全, 数据安全管理; 针对保护方法措施要求落实安全软件选择与管理, 物理和环境安全防护, 配置和补丁管理, 身份认证, 边界安全防护, 远程访问安全, 安全监测和应急预案演练.《工业控制系统信息安全防护指南》对工控安全提出了具体措施, 为企业开展工控安全防护指明了方向.
开展工控风险评估工作
工控风险评估是在对工业控制系统的资产进行整理分析的基础上, 从其资产的安全特性出发, 分析工业控制系统的威胁来源与自身脆弱性, 归纳出工业控制系统面临的信息安全风险, 并给出实施工业控制系统风险评估的指导性建议.
风险评估是实现工控系统信息安全纵深防御的基础, 依托科学的风险评估能够准确地评估工控系统存在的主要信息安全问题和潜在的风险. 绿盟科技工控风险评估服务基于 IPDRR 安全防护模型, 从管理人员, 生产人员和 IT 人员的不同视角, 依照工业行业的业务特性, 结合工业企业安全目标, 覆盖工控安全的全生命周期, 为工业企业提供全方位风险评估服务.
来源: http://netsecurity.51cto.com/art/201903/594237.htm