潛在的實體破壞風險

全球網路安全格局正遭受親俄駭客組織日益升級的威脅衝擊，特別是針對作為社會命脈的關鍵基礎設施運營技術（OT）系統。美國聯邦調查局（FBI）、網路安全和基礎設施安全局（CISA）、國家安全局（NSA）及其國際夥伴聯合發布的警報，擴大了5月諮詢報告的範圍，強調水處理、食品農業和能源等核心部門面臨的風險。與傳統的國家級進階持續性威脅（APT）組織相比，這些駭客組織（如CARR、Z-Pentest、NoName057(16)、Sector16等）的攻擊技術雖然相對不成熟且影響較低，但其入侵活動極具機會主義性質，且已造成不同程度的實體損害。

這種威脅的本質在於其將網路攻擊從資訊竊取擴展至可能危及人類安全的實際操作破壞，凸顯了OT系統防護的迫切需求。駭客主要利用廣泛部署但安全防護極低的虛擬網路運算（VNC）連接，滲透或獲取關鍵基礎設施系統中OT控制設備的存取權限，從而對實體世界造成可觀的威脅，這標誌著IT與OT界線已被廣泛跨越。

 

攻擊態勢分析：針對OT系統的低技術門檻入侵模式

此次警報的核心關注點在於親俄駭客組織如何利用廣泛部署但安全防護極低的虛擬網路運算（VNC）連接。許多關鍵基礎設施實體將其OT控制設備，特別是人機介面（HMI），透過VNC暴露於公共網路，且往往使用預設或弱密碼，為攻擊者提供了低成本、易於複製的入侵途徑。

駭客的策略雖然基礎，但效果顯著。他們利用開源網路爬取工具（如Nmap或OPENVAS）和密碼暴力破解軟體，掃描網際網路上開放的VNC埠（通常為5900），企圖獲取對即時控制網路的遠端存取權限。攻擊者利用這些工具來識別具有可存取 VNC 設備，然後透過已知預設或弱密碼進行暴力破解。一旦得手，攻擊者可以透過HMI的圖形使用者介面（GUI）任意修改實體參數和設定點，甚至執行設備的重啟或關閉等破壞性操作。

雖然這些組織缺乏深層的領域專業知識，無法精確預估其行為的最終實體影響，但其惡意意圖是明確的，即透過誇大破壞結果來在社群媒體上宣揚，達到宣傳和恫嚇的目的。當前觀察到的主要營運影響多為暫時性的「視線丟失」（Loss of View），要求操作人員進行本地手動干預，然而，任何對系統程序的修改都可能導致嚴重的營運中斷和高額修復成本。

 

駭客組織的戰術、技術與程序 (TTPs) 揭露與應急指南

跨國網路安全機構在5月聯合發布網路安全諮詢報告的基礎上，進一步闡述了親俄駭客組織針對美國和全球關鍵基礎設施（包括供水和污水處理系統、食品和農業以及能源等領域）的攻擊策略。這些攻擊利用安全性極低的面向互聯網的虛擬網路運算（VNC）連接，滲透或獲取關鍵基礎設施系統中運營技術（OT）控制設備的存取權限。

美國聯邦調查局（FBI）、網路安全和基礎設施安全局（CISA）、國家安全局（NSA）及其國際合作夥伴在周三發布的一份諮詢報告中評估稱，「親俄駭客組織——包括俄羅斯網路軍團重生組織（CARR）、Z-Pentest、NoName057(16)、Sector16及其附屬組織－正利用廣泛普及的虛擬網路通訊（VNC）設備，對關鍵基礎設施實體發動攻擊，造成不同程度的影響，包括實體損壞。

這份諮詢報告強調，親俄駭客組織在各種實體中採用易於傳播和複製的戰術、技術和程序 (TTP)，這增加了其被廣泛採用的可能性，並加劇了入侵的頻率。報告也指出，親俄駭客組織曾使用一些基礎方法攻擊SCADA網絡，在某些情況下，他們也會對目標網路發動同步DDoS攻擊，以入侵SCADA系統。

攻擊者還記錄了已確認的易受攻擊設備的IP位址、連接埠和密碼，並使用人機介面（HMI）圖形介面進行操作。在執行以下操作時，攻擊者會進行螢幕錄製或間歇性截圖，意圖影響生產效率並造成額外損失，例如修改用戶名/密碼、修改參數、修改設備名稱、修改儀器設定、禁用警報、製造視線丟失（此技術需要操作員進行本地手動幹預）和/或重新啟動或關閉設備。此外，他們還會斷開與設備的連接、終止VNC連接，並在入侵後調查受感染設備的製造商。

該安全公告提出以下防護措施的強化建議：

1. 如果組織發現存在密碼強度不足或使用預設密碼的暴露系統，則應假定威脅行為者已入侵系統，並啟動事件回應流程，包括確定哪些主機受到攻擊，並透過隔離或離線等方式將其隔離；
2. 收集和審查相關證據，例如正在運行的進程/服務、異常身份驗證及最近網路連接；
3. 受損主機進行重新映像，提供新的帳戶憑證，向 CISA、FBI 和/或 NSA 報告入侵情況，並加強網路以防止進一步的惡意活動；
4. 根據威脅行為者的活動，並專注於實施緩解措施，以提升自身的網路安全態勢；
5. OT資產所有者和業者降低OT資產暴露於公共網路的風險；
6. 使用強大的身份驗證程序，啟用能夠分離和審計查看與控制功能的控制系統安全功能，並實施和演練業務恢復/災難恢復計劃；
7. 收集和監控OT資產和網路設備的流量，包括異常登入或透過網際網路通訊的意外協議，以及改變資產運作模式或修改程序的ICS管理協議功能；
8. 審查設定點範圍或標籤值的配置，以確保其保持在安全範圍內，並建立偏差警報機制，並在採購過程中採取積極主動的方式。

 

國際聯防策略與全面風險管理

國際安全機構強調，組織必須立即行動，強化其網路防禦，尤其是針對利用弱點的機會主義攻擊。除了上述八點具體建議外，報告還呼籲OT資產所有者和業者採取更為全面的風險管理措施。這包括採用成熟的資產管理流程，繪製數據流和存取點；同時，利用攻擊面管理服務和網路搜尋平台來掃描組織IP範圍內是否暴露了VNC系統，特別是那些由第三方設置的連接，以確保關鍵系統不會無意中暴露給公共網路。

關鍵防護措施在於實施嚴格的網路分段，將IT網路與OT網路進行有效隔離，並在必須進行網際網路存取時，採用防火牆和虛擬私人網路（VPN）來嚴格控制存取。同時，確保所有遠端存取服務和系統軟體都保持在最新版本，並即時應用安全補丁。這些緩解措施與 CISA 和 NIST 開發的跨部門網路安全效能目標（CPGs）保持一致，旨在提供一套最低限度的實踐，以防範最常見且影響最大的威脅。

 

安全設計理念與供應鏈責任的轉變

資安專家指出，這些攻擊的頻繁發生，凸顯了歷史上OT網路安全多由國家行為者或內部人員主導，現已擴展到包含犯罪集團的勒索軟體和駭客主義者。這種趨勢要求OT設備製造商必須將「安全設計」（Secure-by-Design）原則視為核心責任。機構強烈敦促製造商從產品設計源頭上解決安全問題，包括消除預設憑證、強制要求使用強密碼、為特權使用者強制實施多因素身份驗證（MFA），並發布軟體物料清單（SBOMs）。

當前的網路威脅環境，使得僅依賴合規性（Compliance）已不足以應對，關鍵基礎設施的防護必須轉向以問責制（Accountability）和彈性（Resilience）為基礎的深度防禦。通過不斷實施緩解措施、審慎驗證安全控制、以及OT設備製造商從源頭上解決安全問題，才能有效降低來自親俄駭客團體的風險，並保障國家最關鍵系統的長期運作安全與可靠性。

資料來源：https://industrialcyber.co/news/global-agencies-sound-alarm-as-pro-russia-hacktivist-groups-intensify-ot-intrusions/