此次事件说明多域行动如今如何结合网络、太空和常规军事行动,针对国家基础设施目标。
中国存储网消息,近日网络安全专家e2e-assure称,网络行动在最近美国对委内瑞拉的攻击中涉嫌扮演角色,凸显了人们对关键国家基础设施暴露于国家关联黑客活动的日益担忧。
英国e2e-assure首席执行官罗布·德曼表示,此次事件说明多域行动如今如何结合网络、太空和常规军事行动,针对国家基础设施目标。
“当美国袭击委内瑞拉时,这是网络领域更长时间行动的最后阶段。SPACECOM、CYBERCOM及其他跨部门机构都被用来铺设基础,包括切断加拉加斯的电力,以便在夜间掩护下攻击继续,”e2e-assure首席执行官Demain说。
德曼描述了一种高度同步的作,他称依赖于事先对电网控制系统的接入。
“关闭灯光需要数月准备,使美国能够关闭直升机飞行区域的特定变电站,这需要访问控制电网的计算机系统。停电时间为凌晨2:00,直升机于凌晨2:01降落,这意味着网络、太空指挥和军方协调行动,在一分钟内完成攻击——这比以往俄罗斯对乌克兰发动的网络动能攻击更快更精准,”德曼说。
他说,公开可见的网络数据显示,在实体突袭之前,行动就已在进行中。
“不过,有迹象表明袭击迫在眉睫。网络路由显示突袭前14小时有可疑活动,公开数据显示流量正在被重定向:这是情报收集的典型迹象。但我怀疑委内瑞拉人与全球关键国家基础设施(CNI)组织一样,寻找的是攻击的迹象,而非行动前的步骤,”德曼说。
多阶段战役
德曼提出了一个三阶段模型,他认为这反映了复杂行为者如何准备、塑造并执行针对电力及其他运营技术环境的复杂攻击。
“威胁行为者会提前充分准备此类攻击。第一阶段将渗透供应链和人工访问播种。初始接入点被攻破、凭证采集和持久化机制使用的低强度噪声,实际上会让这些行为看起来如常进行。一旦进入,威胁行为者可以对基础设施进行深度侦察,绘制OT/IT融合和业务流程,并进行控制依赖分析,确定哪些系统需要关闭或产生连锁反应,实现最终目标——即区域性停电,”Demain说。
他说,攻击者会在任何明显的破坏发生前,先改变内部和外部环境。
“第二阶段,攻击者将通过引入新的防火墙规则、备份路由路径和影子管理员,微妙地重塑环境,同时削弱侦测机制。与此同时,互联网控制也通过BGP/DNS监控、流量重定向演练以及情报收集被破坏,这些情报收集监控SOC和ISP的响应时间,以观察谁注意到了这一点。“这一阶段在公共遥测中可见,但几乎没有组织监测这些数据,”德曼说。
他说,最后阶段重点关注多个领域的短暂而强烈的干扰。
“最终执行阶段的干扰时间精确到几分钟内发生。在合适的时机,会触发多域事件,通过账户禁用和条件访问失败、OT系统或生产通过触发特定线路的系统并暂停PLC逻辑而不进行硬关机,工厂与总部及ERP系统之间的IT通信,以及外部路由不稳定和API限速,来锁定身份,“Demain说。
操作员经验
德曼表示,此案凸显了关键国家基础设施运营商的若干防御优先事项,包括能源、交通和工业系统。
“这里对防守者来说有一些明确的教训。首先,他们需要注意任何迹象表明对手可能正在准备攻击的步骤。真正的侦测窗口是在复杂攻击发生前数周甚至数月,而非攻击实施当天。其次,CNI组织需要考虑地缘政治事件带来的威胁,而不仅仅是意图破坏或财务利益的黑客。最后,空气间隔系统并不像人们想象的那么孤立,“德曼说。
他说,这类袭击的性质在重要方面与更常见的金融动机入侵不同。
“这些网络动能攻击与传统攻击非常不同。它们安静,专注于配置滥用、IT/OT和身份系统,且以环境为驱动,这意味着防御方必须转移注意力,寻找长期休眠的访问、身份特权漂移、OT遥测不一致、互联网路由异常和配置变更。对于SOC来说,它强调持续的威胁猎杀——而非警报分诊,“德曼说。
CNI领域的安全团队目前正在评估互联网路由数据、配置变更和OT遥测的监控是否足以检测类似的长期准备活动。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
