俄羅斯駭客正在尋找水力設施工控系統的遠端存取破口，美國、加拿大、英國發布警告

5月1日美國網路安全暨基礎設施安全局（CISA）聯合該國7個機關、加拿大網路安全中心（CCCS）、英國國家網路安全中心（NCSC-UK）提出警告，俄羅斯駭客為了破壞關鍵基礎設施的運作，正在尋找、入侵不安全的操作科技（OT）環境。

該資安公告指出，俄羅斯駭客從2022年就開始鎖定配置不當或不安全的OT設備而來，目的是擾亂關鍵基礎設施的運作，並產生干擾效應，主要是藉由控制工業控制系統（ICS）來達成。

雖然這份公告是針對所有關鍵基礎設施而來，但這些機構點名今年傳出美國出現多起水力設施遭到未經授權人士遠端操控HMI的事故，資安新聞網站Bleeping Computer認為，這份公告發布的原因，很有可能與俄羅斯駭客組織Cyber Army of Russia鎖定美國德州、印第安納州水力設施的攻擊行動有關，並指出該組織也疑似對波蘭和法國出手。

而對於攻擊者的身分，資安業者Mandiant推測，上述的資安事故，是與俄羅斯軍情機構GRU有關的駭客組織APT44所為。

對此，這些機構也對於駭客的攻擊手法進行歸納，指出對方利用VNC通訊協定，並藉由5900埠存取人機互動介面（HMI），從而對OT環境的底層進行竄改，而且，往往是利用預設帳密或弱密碼，且缺乏雙因素驗證（MFA）防護機制的情況下而能得逞。

再者，對方也濫用VNC的遠端框架緩衝協定（Remote Frame Buffer Protocol），登入HMI來控制整個OT環境。

針對這樣的情況，此聯合公告呼籲這些關鍵基礎設施的IT人員採取行動，利用防火牆來保護HMI不受外部存取，並強化VNC的設置，應套用最新的修補軟體、啟用雙因素驗證、變更預設密碼等措施，來提升OT環境的整體資安防護。