亲俄黑客瞄准北美和欧洲的关键基础设施

　　网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)、环境保护局 (EPA)、能源部 (DOE)、美国农业部 (USDA)、食品和药物管理局 (FDA)、多州信息共享和分析中心 (MS-ISAC)、加拿大网络安全中心 (CCCS) 和英国国家网络安全中心 (NCSC-UK) 发布了一份联合公告，警告亲俄针对北美和欧洲关键基础设施组织的黑客组织。

　　攻击的重点是目标基础设施中的工业控制系统 (ICS) 和其他操作技术 (OT) 系统。

　　亲俄黑客行动主义者一直在瞄准和破坏北美和欧洲水和废水系统 (WWS)、水坝、能源以及粮食和农业部门的小型运营技术 (OT) 系统。他们旨在利用模块化、暴露于互联网的工业控制系统 (ICS)，针对人机界面 (HMI) 等软件组件。使用利用虚拟网络计算 (VNC) 远程访问软件和默认密码等方法观察到威胁参与者。

　　恶意活动始于 2022 年，目前仍在进行中。政府机构敦促关键基础设施部门的OT运营商实施公告中提供的一系列缓解措施。

　　“针对这些部门的亲俄黑客活动似乎主要局限于操纵ICS设备以产生滋扰效果的简单技术。然而，调查发现，这些行为者能够对不安全和配置错误的OT环境构成物理威胁。“据观察，亲俄黑客行动主义者通过利用公开暴露的面向互联网的连接和过时的 VNC 软件，以及使用 HMI 的出厂默认密码和弱密码，在没有多因素身份验证的情况下获得远程访问。”

　　亲俄的黑客行动主义者倾向于夸大他们攻击的影响。自 2022 年以来，他们在社交平台上声称对众多北美和国际实体进行了破坏性的网络行动，包括分布式拒绝服务和数据擦除。然而，受害者的报告淡化了袭击的影响。

　　2024 年初，在攻击者入侵其人机界面 (HMI) 后，几名美国供水和废水系统 (WWS) 受害者面临有限的物理中断。黑客行动主义者更改了设置，超出了水泵和鼓风机设备的正常运行参数，禁用了警报机制，并更改了管理密码以锁定操作员。

　　“在每种情况下，黑客行动主义者都最大化了设定点，更改了其他设置，关闭了警报机制，并更改了管理密码以锁定WWS操作员。一些受害者经历了轻微的储罐溢出事件;然而，大多数受害者在事件发生后立即恢复了手动控制，并迅速恢复了运营。

安全事件分析及建议：

　　亲俄黑客瞄准北美和欧洲的关键基础设施安全事件是一个严重的安全威胁，可能对整个国家乃至全球的安全稳定造成严重影响。以下是对这种安全事件的分析和建议：

　　分析攻击手段和目标：了解黑客利用的攻击手段和目标是关键，可能涉及的攻击手段包括网络钓鱼、恶意软件感染、远程入侵等。而目标可能包括能源设施、交通系统、通信网络等关键基础设施。

　　加强网络安全防御：对关键基础设施进行全面的网络安全防御，包括建立强大的防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)，及时发现和阻止潜在的攻击。

　　加密和保护关键数据：对关键基础设施的数据进行加密和保护，防止黑客窃取敏感信息或者篡改数据造成损失。

　　实施多因素身份验证：采用多因素身份验证技术，提高用户和管理员登录系统的安全性，防止黑客利用密码破解等手段获取权限。

　　定期进行安全演练和应急响应：定期组织安全演练，提高员工的安全意识和应对能力，并建立完善的安全事件应急响应机制，及时应对安全事件并最小化损失。

　　加强国际合作和信息共享：加强国际合作，与其他国家和组织分享关于黑客活动的情报信息，共同应对跨国黑客攻击。

　　持续监测和更新安全措施：持续监测关键基础设施的安全状况，并及时更新安全措施和应对策略，确保能够及时发现和应对新的安全威胁。

　　提高公众安全意识：通过教育和宣传活动提高公众对网络安全的重视和意识，加强对黑客攻击的防范和应对能力。

　　综上所述，要应对亲俄黑客瞄准北美和欧洲的关键基础设施安全事件，需要政府、企业和公众共同努力，加强安全防御和合作，保障关键基础设施的安全和稳定。