从Cyble网站获悉，2024年12月6日，Cyble研究人员记录了一个与俄罗斯有关的新威胁组织Z-Pentest，该组织一直在破坏关键基础设施环境并篡改系统控制，Cyble还研究了俄罗斯老牌威胁组织“人民网络军”（ People's Cyber Army，也称为“俄罗斯重生网络军”）的活动。

      Cyble是一家美国网络安全公司，专注于提供暗网监控和数字风险保护服务。它通过监测暗网、深网和公开网络，帮助企业组织识别网络威胁，包括数据泄露、勒索软件攻击、钓鱼活动和其他网络犯罪行为。

概述

      两个俄罗斯黑客行为组织正日益针对美国及其他地区的关键基础设施进行攻击，他们的攻击行为远不止黑客行为组织通常进行的分布式拒绝服务（DDoS）攻击和网站篡改。这两个组织分别是人民网络军队（PCA）和Z-Pentest，在他们的Telegram频道上发布了视频，视频显示其成员在操作技术控制（OT）上进行篡改，尤其是在石油、天然气以及水系统领域。

      这些由Cyble暗网研究人员记录的声明，声称这两个组织可能主要是为了建立信誉而不是对目标造成损害。但在上周，Z-Pentest声称他们的行动已经升级，包括破坏了美国的一个油井系统。

      这些组织还获取了其他地区关键基础设施的运营控制信息，特别是加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰，声称对这些地区在乌克兰与俄罗斯的战争中提供的支持进行报复。

      有些攻击已被公开报道，最著名的是人民网络军对水利设施的攻击，但 Z-Pentest 声称针对能源部门的攻击基本上没有引起关注。目前尚不清楚俄罗斯黑客组织能够造成多大的破坏，但鉴于美国网络安全和情报机构一再警告深度渗透美国关键基础设施的行为，这些基础设施环境应被视为极易受到攻击，并应相应加强防护。

Z-Pentest的活动

      Z-Pentest 似乎自10月以来才开始活跃，但在短短两个月内，Cyble的暗网研究团队记录了该组织发起的10起攻击行为，所有这些攻击都涉及到访问关键基础设施环境中的控制系统。他们的主要的 Telegram 频道最近被关闭，但该组织仍在X平台上保持活跃，并声称其总部设在塞尔维亚。

      Z-Pentest 最近一次的攻击，涉及破坏油井现场的关键系统，包括负责水泵、石油气体燃烧和石油收集的系统。一段6分钟的屏幕录像显示了该设施控制系统的详细截图，显示了在入侵期间被访问和更改的储罐设定点、蒸汽回收指标和操作仪表板。目前尚不清楚该石油设施位于何处，但其他两个声称针对美国石油设施的攻击似乎与已知的位置和公司信息相符。

      在另外两起声称发动的攻击中，该威胁组织发布了一段时长4分钟的屏幕录像，在录像中他们访问了一系列操作控制系统。尽管黑客很可能已经进入了敏感环境，但他们能造成多大损害尚不清楚。例如，可编程逻辑控制器（PLC）通常包括安全特性，这些特性可以阻止破坏性行为的发生，但这些环境能够被威胁行为者访问这一事实仍然令人担忧。

      Cyble观察到，近几个月来针对能源部门的威胁活动有所增加，暗网声称网络访问权限和零日漏洞已在暗网市场上出售。能源部门的网络访问权限的凭证已在暗网上出售，这表明监测凭证泄露可能是防止未来更大安全漏洞的重要防御措施。

人民网络军的活动

      更为人所知的“人民网络军”（PCA），也被称为“俄罗斯重生网络军”， 同样将目标对准了美国及其他地区的关键基础设施控制。有迹象表明，PCA 和 Z-Pentes可能在合作。尽管该组织的许多活动涉及分布式拒绝服务（DDoS）攻击，但最近声称还入侵了美国一家环保清理公司的控制面板以及德克萨斯州和特拉华州的水系统。 

      一些OT安全专家认为供水和废水系统特别脆弱，容易遭受攻击，部分原因是社区缺乏在没有这些系统的情况下长时间应对的能力。人民网络军于8月底和9月发动了两次攻击，发布了屏幕录像，记录显示该组织篡改了德克萨斯州斯坦顿市斯坦顿水处理厂和特拉华州纽卡斯尔水塔控制面板上的系统设置。

在德克萨斯州的案件中，黑客能够打开阀门并释放未经处理的水，但除此之外，人们认为没有造成其他损害。

      总之，Cyble 记录了人民网络军今年在美国和其他地方对水系统进行了八次攻击，其中包括1月份导致德克萨斯州阿伯纳西和穆尔舒的储水箱溢出的攻击。该组织自2022年以来一直以乌克兰盟友为目标，并于2024年7月受到美国政府的制裁。

结论

      关键基础设施组织的安全漏洞如今已成为一个有据可查的现象，但最近一系列针对能源和水利设施的攻击表明，在利用这些脆弱环境方面出现了令人担忧的升级。Z-Pentest 作为这一领域新出现的威胁行为者，应该引起重视。因为该组织已经显示出明显的能力，能够渗透这些环境并访问和修改操作控制面板。

      关键基础设施环境通常无法承受停机时间，而且报废的设备通常在支持结束后很长时间仍会继续使用。考虑到这些挑战，以下是一些改善关键环境安全性的一般建议：

      1．组织应关注 ICS/OT 漏洞公告，并在补丁发布后立即应用。及时了解供应商更新和安全建议对于确保及时解决漏洞至关重要。

      2．将 ICS/OT/SCADA 网络与其他IT 基础设施进行隔离，有助于防止在发生入侵时出现横向移动。实施零信任架构也是明智的，可以限制漏洞利用的可能性。不需要暴露在互联网上的设备不应暴露，而那些需要暴露在互联网上的设备应尽可能受到保护。

      3．对所有人员（特别是有权使用OT系统的人员）进行定期的网络安全培训，有助于防止人为错误并降低社会工程攻击的风险。

      4．持续的漏洞扫描和渗透测试有助于在攻击者利用漏洞之前识别和解决漏洞。使用威胁情报服务并及时了解漏洞情报报告对于主动防御至关重要。威胁狩猎也应该成为常规实践，以检测潜伏在关键环境和相邻IT网络中的高级持续性威胁（APT）。

      5．制定健全的事件响应计划并定期进行安全演习，确保组织对可能出现的任何安全事件都能迅速、协调地做出反应。

引用链接

1.https://cyble.com/blog/russian-hackti vists-target-energy-and-water-infra structure/