生物安全的網絡攻擊警報：生物制造基礎設施已成為復雜APT攻擊的目標

美國生物經濟信息共享與分析中心 (BIO-ISAC) 當地時間11月23日對針對生物制造設施的網絡攻擊發出警報。警報稱名為Tardigrade的新活動最初于2021年春季發現，當時在一家大型生物制造設施的網絡中發現了SmokeLoader惡意軟件的新變種。2021年10月，又在第二個設施的網絡上發現了該惡意軟件。SmokeLoader家族是一個極其復雜的惡意軟件，目前在生物經濟鏈條中廣為傳播。這也可能是第一個識別出的針對生物制造設施的如此復雜的惡意軟件。鑒于所觀察到的傳播活動，還需進一步跟蹤分析以加快披露速度。

這一網絡攻擊警報應當引起網絡安全監管機構、網絡安全廠商和生物基礎設施行業的重視。生物安全涉及人體健康、資源環境可持續、社會倫理、國防安全等多個方面，是我國家安全的重要組成部分。

根據生物醫學和網絡安全公司BioBright提供的一份BIO-ISAC報告，Tardigrade攻擊還涉及部署勒索軟件，但研究人員告訴連線，勒索軟件可能僅用于掩蓋攻擊者進行的其他活動。

“通過隨后的調查，發現了一個惡意軟件加載程序，它表現出高度的自主性和變形能力，”BIO-ISAC 在警報中說。

SmokeLoader也稱為Dofoil，已經存在大約十年，允許威脅行為者將其他惡意軟件部署到受感染的系統上，包括TrickBot木馬。下圖是該惡意軟件被發現的關鍵時間節點。

在間諜攻擊中，惡意軟件的主要目的是下載有效載荷并操縱受感染系統上的文件。

“[T] 他的系統似乎能夠從內存中重新編譯加載程序，而不會留下一致的簽名。BIO-ISAC 報告中寫道：“重新編譯發生在網絡連接異常之后，這可能是調用命令和控制 (CnC) 服務器來下載和執行編譯器。”

與之前版本的 Smoke Loader不同，新變體是變形的，更加自主，可以“根據內部邏輯決定橫向移動”。它還可以有選擇地識別要修改的文件，尋求提升權限，加密到服務器的流量，并充當后門。

由于Tardigrade的復雜性極高，BIO-ISAC將這次攻擊歸因于高級持續威脅 (APT)，但沒有做出確切的歸因。研究人員認為這可能是一個外國政府，有一些證據指向俄羅斯的威脅行為者。

BIO-ISAC還提供與該活動相關的危害指標，并鼓勵生物制造組織檢查其網絡是否有任何感染跡象、備份重要數據、采用防病毒解決方案并培訓員工如何發現網絡釣魚企圖。

BIO-ISAC表示：“此時，鼓勵生物制造基地及其合作伙伴假設他們是目標，并采取必要措施審查他們的網絡安全和響應態勢。”報告給出的具體建議包括五項措施：

a.評估你的生物制造網絡分區與隔離措施

b.與生物學家和自動化專家合作，為您的公司創建一個“皇冠寶石”（即核心資產）分析

c.測試并執行關鍵生物基礎設施的離線備份

d.查詢關鍵生物基礎設施部件的交貨時間

e.假設你就是一個攻擊目標

近日中央審議的《國家安全戰略（2021-2025）》中，生物安全、網絡安全、數據安全和人工智能安全被納入了國家安全的范疇。作為國家安全的重要組成部分，生物安全涉及人體健康、資源環境可持續、社會倫理、國防安全等多個方面，國家將從經費投入、基礎設施建設、人才培養、物資儲備等方面入手，保障生物安全能力建設。

關于BIO-ISAC

生物經濟信息共享與分析中心(BIO-ISAC)是美國國家網絡威脅檢測、預防、保護、應對、處置和恢復能力的關鍵資源，解決生物經濟獨有的威脅，促進利益相關者之間的協調，以推進建設強大的和安全的生物行業。BIO-ISAC是一個501(c)3非營利性成員組織，于2021年正式注冊。更多信息請訪問isac.bio。