美國警告國家級駭客正鎖定ICS/SCADA裝置發動攻擊

美國能源部（DOE）、國安局（NSA）、聯邦調查局（FBI）與美國網路安全及基礎設施安全局（CISA）本周聯手警告，已有特定的先進持續威脅（APT）駭客組織展示了它們存取工業控制系統（ICS）及系統監控和資料蒐集（SCADA）系統的能力，涵蓋施耐德電機（Schneider Electric）與歐姆龍（OMRON）的Sysmac NEX可程式化邏輯控制器，以及開源且跨平臺的感應器傳輸標準OPC Unified Architecture（OPC UA）。

調查顯示，這群APT駭客已開發出鎖定這些ICS/SCADA裝置的客製化工具，當它們成功進入營運技術（OT）網路之後，便得以利用這些工具來掃描、危害並控制受影響的裝置，此外，駭客還能開採華擎主機板驅動程式的已知漏洞，駭進IT或OT環境中的Windows工程工作站。

在取得ICS/SCADA裝置的存取權限之後，駭客可擴張權限以於OT環境中橫向移動，並破壞重要裝置或功能。

駭客所使用的工具採用模組化架構，具備高度的自動化攻擊能力，相關工具也模擬了目標裝置的介面，以降低操作門檻，這些針對施耐德電機、歐姆龍與OPC UA所打造的工具能夠掃描目標裝置，偵測裝置細節，還能上傳惡意配置或程式碼至目標裝置，備份裝置內容，以及變更裝置參數。

因此，DOE、NSA、FBI與CISA督促重大基礎設施業者，特別是能源領域的組織，應導入它們所提供的檢測及緩解建議，以偵測潛在的APT活動並強化其ICS/SCADA裝置，包括將ICS/SCADA網路與企業網路及公開網路隔離，對遠端存取採用雙因素認證，定期更新ICS/SCADA所有密碼，維護良好的離線備份，限制ICS/SCADA所連結的工作站數量，啟用安全防護機制，監控系統運作，以及制定網路事件回應計畫等。