Solarwinds事件最新进展-SNMP恶意软件可直接影响控制系统

SolarWinds供应链攻击事件持续发酵，大量的受害者正在浮出水面，惊人的事实正在被发掘和发现。目前已有能源、教育、交通等关键基础设施行业被证实为受害者，但是否已经有工业控制系统受到危害，尚无实证。但有权威自动化专家抛出了惊人论断，很可能已有SNMP恶意软件渗透到了工业控制系统。

一

事件最新进展

微软、能源部和NASA等超过40个用户被证实为Solarwinds攻击受害者(12.18.2020)——微软、美国能源部和其他一些公司显然也成为了此次攻击的目标。对SUNBURST恶意软件DGA的分析发现了100个潜在的受害者，微软声称还确定了40个攻击者的高价值目标。

供应链攻击:CISA警告新的初始入侵向量构成“严重风险”(12.17.2020)- CISA表示，除了Solarwinds Orion平台外，它有其他初始入侵向量的证据，但该机构仍在调查，暂时没有分享有关信息。

鲜为人知的SolarWinds因黑客攻击、股票抛售受到审查(12.17.2020)—此前很少有人知道SolarWinds公司，但被精英网络间谍攻击污染的消息让许多客户高度警惕，这也引发了人们对其最大投资者为何抛售股票的疑问。

美国FBI、CISA、ODNI就SolarWinds攻击事件发布联合声明(12.17.2020)——美国联邦调查局、CISA和ODNI（情报总监办公室）发表了一份联合声明，描述了他们在调查和应对事件中所扮演的角色。联邦调查局正试图找出幕后黑手，并破坏他们的活动，持续与受害者合作以获得有价值的信息。CISA已发布紧急指令，指示联邦机构采取措施检测攻击，收集证据，并将攻击者从其网络中清除。ODNI负责在政府之间共享信息，并通过提供情报机构的资源来支持调查。

国际权威自动化专家撰文称SolarWinds攻击可直接影响控制系统（12.17.2020）–权威自动化专家Joe Weiss（控制系统网络安全专家Joseph M. Weiss是网络安全、控制系统和系统安全方面的国际权威，在网络安全、科学和技术、新兴的安全威胁等方面具有丰富经验。）称该篇博客是其最重要的博文之一，因为它直接关系到俄罗斯人如何在SolarWinds攻击中得到“两个人”——破坏IT基础设施和直接控制建筑控制系统设备。俄罗斯人还通过IT网络后门间接控制了“工业”控制系统。

美国多家电力公司的高管12月15日召集电话会议紧急讨论Solarwinds攻击影响（12.16.2020）-会议由一个称为“电力子行业协调委员会”的行业政府组织主办。工业网络安全公司Dragos的首席执行官Robert M. Lee说，许多使用工业控制系统（辅助控制机械的计算机）的企业、组织都意识到，SolarWinds软件已集成到这些系统中。这种攻击入侵意味着很多组织的ICS网络中都有SolarWinds的受污染版本。对手是否可以访问它取决于这些公司的体系结构。目前还不知道攻击者是不是可以访问ICS网络的任何情况。

二

SolarWinds攻击如何影响控制系统？

Joe Weiss从控制系统安全的角度，分析了此次攻击事件可能对工业控制系统的影响。他在博文中称，其已经参加了几次SolarWinds事件相关的网络研讨会。FireEye公司的博客、美国国土安全部下属CISA (https://us-cert.cisa.gov/ncas/alerts/aa20-352a)的警报和SolarWinds安全咨询建议(https://www.solarwinds.com/securityadvisory)以及网络研讨会都聚焦于IT网络、网络可见性和数据泄露/危害。然而，SolarWinds Orion平台被用于管理所有类型的简单网络管理协议(SNMP)设备，这些设备不仅包括服务器和交换机等IT设备，还包括电力和冷却系统等工业控制系统(ICS)。具体地说，SNMP管理系统用于监视(使用SNMP“get”命令)和控制(使用SNMP“set”命令)任何SNMP设备。尽管他还没有听到任何讨论，像Orion这样的SNMP管理平台也监视和控制关键任务设施中的关键电源和冷却系统，即使SNMP具有很少或没有可行的安全性。如https://www.controlglobal.com/blogs/unfettered/data-centers-have-been-damaged-and-they-are-not-being-adequately-cyber-secured/一文中所述，数据中心设备已被SNMP漏洞破坏。

该 博文中专门介绍了SNMP协议在工业场景下的许多应用。他指出，数据中心、实验室、电信系统和网络机柜中的大多数电源和冷却系统都包括SNMP通信卡或芯片，以实现对它们的监视和远程控制。这些电源和冷却系统包括:

u开关设备

u配电单元

u齿条式配电装置

u不间断电源

u机架不间断电源

u计算机房空调和空气处理机(CRAC和CRAH机组)

u温湿度传感器

u机架环境监测系统

在任务关键设施中，多个管理平台通常具有对基于SNMP的系统的监视和控制访问。例如，Orion这样的网络管理系统(NMS)通常在机架级上跟踪设备信息，包括服务器、交换机、机架PDU以及机架UPS、机架冷却和机架监控系统。与此同时，楼宇管理系统(BMS)跟踪中央冷却单元和机架式冷却单元，而数据中心基础设施管理(DCIM)系统也跟踪机架式PDU（电源分配单元）、主PDU、主UPSs和开关柜。他提供了另外一篇有关物联网和HVAC系统中潜在安全风险的博客文章（https://www.controlglobal.com/blogs/unfettered/lack-of-iot-hvac-control-system-cyber-security-and-potential-real-world-impacts/），以强调建筑物风险评估的这种差距。

这无疑是一个惊人的结论。试想，如果solarwinds攻击的目标延伸到了工业控制系统，那这个后果就相当可怕了。

三

SNMP会成为Solarwinds事件的焦点？

最新的SNMP版本3（1998年推出SNMPv3，一系列文档定义了SNMP的安全性，并定义了将来改进的总体结构，SNMPv3可以和SNMPv2、SNMPv1一起使用。）,现在已有20多年了,长期以来被证明是脆弱的(尽管与版本1和2不是一样的脆弱点)。Joe Weiss的博文中指出，这个同行评议和佐治亚理工学院的研究报告显示攻击SNMP设备是多么容易,且会造成物理伤害。使用SNMP的设备是不安全的，很容易被攻击。2015年，俄罗斯在对乌克兰电网的攻击中使用了SNMP通信卡作为攻击载体，导致数十万人断电。俄国人把控制中心的UPS作为攻击的起点。简而言之，他们在UPS上安装了恶意代码，使其在对电信交换机发起拒绝服务(DoS)攻击的同时关闭了UPS(正如佐治亚理工学院的论文所概述的SNMP攻击的后果所示，见表1)。与此同时，他们打开了向乌克兰大部分地区供电的主断路器。

成功攻击的影响示例，按运行SNMP模型的设备类型、SNMP控制启用的功能以及成功执行攻击的潜在后果进行分解。（论文《Under New Management: Practical Attacks on SNMPv3》）

这一说法有可能与几年前安全公司对乌克兰停电事件的分析结论有出入。因为此前的研判是：乌克兰停电事件是以BlackEnergy等相关恶意代码为主要攻击工具，通过BOTNET体系进行前期的资料采集和环境预置；以邮件发送恶意代码载荷为最终攻击的直接突破入口，通过远程控制SCADA节点下达指令为断电手段；以摧毁破坏SCADA系统实现迟滞恢复和状态致盲；以DDoS服务电话作为干扰，最后达成长时间停电。（2016.02.24，安天，乌克兰电力系统遭受攻击事件综合分析报告）。

SNMP 的基本思想：为不同种类的设备、不同厂家生产的设备、不同型号的设备，定义为一个统一的接口和协议，使得管理员可以是使用统一的外观面对这些需要管理的网 络设备进行管理。通过网络，管理员可以管理位于不同物理空间的设备，从而大大提高网络管理的效率，简化网络管理员的工作。所有支持SNMP协议的设备都提供 SNMP这个统一界面，使得管理员可以使用统一的操作进行管理，而不必理会设备是什么类型、是哪个厂家生产的。如下图。（引自https://www.cnblogs.com/longlogs/p/11988639.html）

Solarwindsr Orion平台产品确实支持和使用SNMP协议，这点是确定的。

四

被忽视的SNMP恶意软件？

Weiss的博文分析，长期以来，人们一直猜测，俄罗斯将乌克兰作为“测试实验室”，对其他国家进行更大规模的网络攻击。不幸的是，现在可以说他们已经成功地发动了这次SolarWinds Orion的攻击。尽管几乎所有人都在搜索服务器和托管交换机上的恶意代码，但现实情况是，这些代码可能已经被放置在全球各地的关键任务企业的电源和冷却系统的SNMP卡上。SNMP恶意软件极其难以检测，只有少数人参与了查找和管理这种类型的恶意软件。Bob Hunter就是这样一个人，他和我合作过SNMP恶意软件，并记录了它们。Bob和我在Wiley & Sons即将出版的《2020年数据中心手册》中共同撰写了“数据中心网络安全”一章，他在本博客中提供了意见。Weiss建议读者阅读他关于SolarWinds黑客攻击的早期文章，并了解一下他公司的安全SNMP系统。

Bob Hunter是物联网网络安全思想领袖和战略企业家。MicroGuardian Systems和AlphaGuardian Networks的创始人兼首席执行官。他在12月14日撰文，谈了对Solarwinds供应链攻击事件的看法。文章称，他紧急中断了《2020物联网网络安全法案》系列讨论，转头分析俄罗斯对美国政府机构和私人公司进行SolarWinds网络攻击的行为。这次网络攻击使用了流行的SNMP监控平台SolarWinds。关于SolarWinds网络攻击以及他们的软件是如何被恶意代码感染的，最好的描述来自Krebs。Krebs指出，代码是在远程升级基于微软windows的SolarWinds控制台时加载的。最值得注意的是，SolarWinds建议其客户，当反病毒软件扫描文件时，其软件的某些功能可能无法工作。但是，这个故事还有很多内容还没有完全证实。

Bob Hunter表示，他一直以来在警告所有版本的SNMP都是不安全的，与网络管理控制台之间的通信——比如SolarWinds——很容易被黑客攻击，并可被用于恶意目的。SNMP攻击实际上已经持续了一段时间，SNMP、Modbus、BACnet或任何其他用于数据中心设备通信的主要协议都不符合新通过的《2020年物联网网络安全法》的安全要求。

而且Hunter也以乌克兰停电事件为例，指出SNMP是如何被利用的。他称俄罗斯人非常擅长使用SNMP和其他网络通信攻击任务关键基础设施。俄罗斯对乌克兰一家发电厂的攻击导致该国大部分地区电力中断，不过是对此类攻击能力的测试。在那次攻击中，俄罗斯人控制了电站管理软件，然后在不间断电源(UPS)的SNMP卡上植入了代码。在预先编码的时间内，管理控制台关闭向电网供电的主断路器(可能是基于modbus的断路器)，同时UPS上的SNMP卡关闭控制室的所有电源。作为最后一击，他们还对工厂基于IP的电话交换机发起了拒绝服务(DoS)攻击。最终的结果是，由于主断路器被打开，导致大部分地区停电。由于UPS关闭，控制室也处于黑暗中。由于电信交换机被攻击，无法拨打电话通信。通讯系统的恢复花了数小时，而电力系统完全恢复对所有用户的供电则花了数天时间。

这一说法与Weiss保持了高度一致。

Weiss最后认为，俄罗斯花费了大量的努力来投递BlackEnergy2恶意软件，该软件仍然在美国的网络中。俄罗斯对其进行了修改，创建了BlackEnergy3，用于乌克兰电网攻击，起点是入侵使用SNMP的UPSs。现在，他们投入了大量的精力开发SolarWinds攻击，使超过18000个用户能够直接访问SNMP设备。这些18000个客户拥有具有SNMP设备的关键厂房(例如，数据中心、控制中心、实验室、生产厂房等)。现在，请重新阅读https://www.controlglobal.com/blogs/unfettered/lack-of-iot-hvac-control-system-cyber-security-and-potential-real-world-impacts/，了解一下这些目标组织可能正在等待着什么。

Weiss的结论是：Solarwinds供应链攻击证明了控制系统网络安全范式转换的必要性，需要对不连接任何IP网络的控制系统设备进行独立的调查分析。

三

SolarWinds事件中SNMP恶意软件在哪儿？

SNMP恶意软件，是不是真的存在？搜索查询，很少有有价值的线索。可用的一个线索也只是三年前某个网友的疑问，也未经证实，但当时此人已怀疑是某些高能力组织的杰作了。

这个求助的帖子中讲，由于某种类型的无法识别的恶意软件（趋势或MalwareBytes未检测到），发帖人目前正在重建4台计算机，这些恶意软件一直在扫描开放的SNMP端口并尝试访问它们。从数台设备发送的自动电子邮件中，收到了警报，其中报告了来自这些计算机的未经授权的SNMP尝试。使用计算机的用户不是系统管理员，并且可能无法拼写SNMP，更不用说告诉它的用途了。

受影响的计算机运行的是Windows7或Windows10。在没有任何恶意软件检测程序启动的情况下，正在重新映像受影响的系统，以尝试将其淘汰。这似乎正在工作。

猜测这可能与Snowden向全世界发布的一种NSA类型工具类似，因为它避免了反恶意软件工具的检测。

Bob Hunter在文章似乎就肯定了SNMP恶意代码的存在。他指出，SolarWinds中的恶意代码影响了2020年3月至6月之间发布的版本。因此，该代码已经花费了至少5个月至8个月的时间才能发挥出各种技巧。考虑到俄罗斯使用乌克兰作为大规模基础设施攻击的试验台，这种攻击本来可以用来分发恶意代码的，这似乎是合乎逻辑的。该代码现在存在于不间断电源、配电单元、HVAC和通常在数据中心、网络机柜和其他关键场所中找到的其他系统中。机架PDU系统也已被其他黑客用来进入服务器，因此，鉴于俄罗斯黑客的熟练程度，似乎有很大的机会将代码嵌入这些机架电源和散热系统中。这样的代码很可能永远不会被发现，因为它只能在正常的网络管理流量范围内起作用。对使用机架PDU或机架式UPS使用SNMP攻击同一机架中的设备的能力没有限制，并且网络安全扫描程序可能永远不会检测到这些攻击。SolarWinds网络攻击确实是对所有网络和数据中心管理者的警钟，SNMP管理系统不安全。Hunter建议读者将其安全产品RackGuardian单元作为基于控制台的SNMP管理系统（例如SolarWinds）的真正安全替代品。

SNMP恶意软件到底是理论上的猜想，还是现实中的存在，真相会水落石出？

系列回顾

⊙秦安战略：拜登正式当选总统，制裁蓬佩奥等恶意攻击中国的政客，恰其时也！

⊙2021财年的美国空军机队

⊙2021财年的美国海军舰队

——END——

来源：秦安战略