本週三，包括美國能源部（DOE）、網絡安全和基礎設施安全局（CISA）和聯邦調查局（FBI）在內的多個機構，向關鍵基礎設施運營商發出了嚴重的潛在攻擊警報。近年來，某些持續威脅（APT）參與者創建了許多定制工具，並在針對工業控制系統（ICS）、監控和數據採集設備（SCADA）等關鍵基礎設施的攻擊事件中發揮了相當大的威力。

（來自：CISA）

具體說來是，此類攻擊多針對施耐德電氣的PLC（通用控制器）、歐姆龍Sysmac N PLC 和開放平台統一通信架構（OPC UA）服務器而發起。

鑑於上述產品亦在美國諸多重要的工業設施中得到了廣泛的使用，美國多個聯邦部門在警報中發出了嚴厲的提醒：

一旦被攻擊者獲得對相關運營技術（OT）的最終訪問權限，特定工具將能夠對內網進行掃描、破壞和建立遠程控制能力。

此外針對工控主板驅動漏洞的利用，也潛在於基於Windows操作系統的工程信息技術（IT）或OT 環境的工作站中。

通過制定和維護對ICS / SCADA 設備的訪問權限，APT 參與者可順利提權、在OT 環境中四處遊蕩，進而破壞關鍵設備或系統功能。

正因如此，有關部門才不厭其煩地在每一份館建設施實施警報中給出相關檢測和緩解建議。

本輪攻擊波及施耐德電氣的MODICON 和MODICON Nano PLC，影響TM251、TM241、M258、M23、LMC058 和LMC078 等型號。

歐姆龍Sysmac NJ NX8 PLC 亦有在列，受影響的產品涵蓋了NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和R88D-1SN10F-ECT 等型號。

ICS 網絡安全軟件公司aDolus Technology 首席技術官Eric Byres 在接受The Record採訪時指出：基於通用的“共同合作協議”，OPC UA 的大多數供應商系統都允許配合多方的產品使用。

安全公司Dragos 首席執行官Robert Lee 補充道，他們一直在追踪此類針對ICS 的惡意軟件。可知其最初以施耐德電氣和歐姆龍等廠家的產品為目標，且會利用本機功能來逃避安全檢測。

慶幸的是，大部分此類惡意軟件尚未在目標網絡中被激活，意味著廣大基礎設施運營商仍有機會在災難發生前迅速落實防禦措施。

據悉，此類惡意軟件最初似乎特別針對液化天然氣和電力等能源基礎設施。但從本質上來剖析，可知其亦可在各種各樣的工業控制器和系統上運行。