美國生物經(jīng)濟信息共享與分析中心 （BIO-ISAC） 當?shù)貢r間11月23日對針對生物制造設施的網(wǎng)絡攻擊發(fā)出警報。警報稱名為Tardigrade的新活動最初于2021年春季發(fā)現(xiàn)，當時在一家大型生物制造設施的網(wǎng)絡中發(fā)現(xiàn)了SmokeLoader惡意軟件的新變種。2021年10月，又在第二個設施的網(wǎng)絡上發(fā)現(xiàn)了該惡意軟件。SmokeLoader家族是一個極其復雜的惡意軟件，目前在生物經(jīng)濟鏈條中廣為傳播。這也可能是第一個識別出的針對生物制造設施的如此復雜的惡意軟件。鑒于所觀察到的傳播活動，還需進一步跟蹤分析以加快披露速度。

　　這一網(wǎng)絡攻擊警報應當引起網(wǎng)絡安全監(jiān)管機構(gòu)、網(wǎng)絡安全廠商和生物基礎設施行業(yè)的重視。生物安全涉及人體健康、資源環(huán)境可持續(xù)、社會倫理、國防安全等多個方面，是我國家安全的重要組成部分。

　　根據(jù)生物醫(yī)學和網(wǎng)絡安全公司BioBright提供的一份BIO-ISAC報告，Tardigrade攻擊還涉及部署勒索軟件，但研究人員告訴連線，勒索軟件可能僅用于掩蓋攻擊者進行的其他活動。

　　“通過隨后的調(diào)查，發(fā)現(xiàn)了一個惡意軟件加載程序，它表現(xiàn)出高度的自主性和變形能力，”BIO-ISAC 在警報中說。

　　SmokeLoader也稱為Dofoil，已經(jīng)存在大約十年，允許威脅行為者將其他惡意軟件部署到受感染的系統(tǒng)上，包括TrickBot木馬。下圖是該惡意軟件被發(fā)現(xiàn)的關鍵時間節(jié)點。

　　在間諜攻擊中，惡意軟件的主要目的是下載有效載荷并操縱受感染系統(tǒng)上的文件。

　　“[T] 他的系統(tǒng)似乎能夠從內(nèi)存中重新編譯加載程序，而不會留下一致的簽名。BIO-ISAC 報告中寫道：”重新編譯發(fā)生在網(wǎng)絡連接異常之后，這可能是調(diào)用命令和控制 （CnC） 服務器來下載和執(zhí)行編譯器。“

　　與之前版本的 Smoke Loader不同，新變體是變形的，更加自主，可以”根據(jù)內(nèi)部邏輯決定橫向移動“。它還可以有選擇地識別要修改的文件，尋求提升權(quán)限，加密到服務器的流量，并充當后門。

　　由于Tardigrade的復雜性極高，BIO-ISAC將這次攻擊歸因于高級持續(xù)威脅 （APT），但沒有做出確切的歸因。研究人員認為這可能是一個外國政府，有一些證據(jù)指向俄羅斯的威脅行為者。

　　BIO-ISAC還提供與該活動相關的危害指標，并鼓勵生物制造組織檢查其網(wǎng)絡是否有任何感染跡象、備份重要數(shù)據(jù)、采用防病毒解決方案并培訓員工如何發(fā)現(xiàn)網(wǎng)絡釣魚企圖。

　　BIO-ISAC表示：”此時，鼓勵生物制造基地及其合作伙伴假設他們是目標，并采取必要措施審查他們的網(wǎng)絡安全和響應態(tài)勢。“報告給出的具體建議包括五項措施：

　　評估你的生物制造網(wǎng)絡分區(qū)與隔離措施

　　與生物學家和自動化專家合作，為您的公司創(chuàng)建一個”皇冠寶石“（即核心資產(chǎn)）分析

　　測試并執(zhí)行關鍵生物基礎設施的離線備份

　　查詢關鍵生物基礎設施部件的交貨時間

　　假設你就是一個攻擊目標

　　近日中央審議的《國家安全戰(zhàn)略（2021-2025）》中，生物安全、網(wǎng)絡安全、數(shù)據(jù)安全和人工智能安全被納入了國家安全的范疇。作為國家安全的重要組成部分，生物安全涉及人體健康、資源環(huán)境可持續(xù)、社會倫理、國防安全等多個方面，國家將從經(jīng)費投入、基礎設施建設、人才培養(yǎng)、物資儲備等方面入手，保障生物安全能力建設。

　　關于BIO-ISAC

　　生物經(jīng)濟信息共享與分析中心（BIO-ISAC）是美國國家網(wǎng)絡威脅檢測、預防、保護、應對、處置和恢復能力的關鍵資源，解決生物經(jīng)濟獨有的威脅，促進利益相關者之間的協(xié)調(diào)，以推進建設強大的和安全的生物行業(yè)。BIO-ISAC是一個501（c）3非營利性成員組織，于2021年正式注冊。更多信息請訪問isac.bio。

　　如需采訪或媒體咨詢，請發(fā)送電子郵件至press@isac.bio或致電？（540）782-0087。如需披露，請發(fā)郵件至tips@isac.bio或訪問isac.bio/disclosure。