仅在2020年上半年就发现了四种不同的用于攻击实体隔离（air-gapped）网络的恶意框架，此类工具包的总数达到17个，并为黑客提供了网络间谍和机密信息外泄的可乘之机。

“所有的框架都被设计成执行某种形式的间谍活动，所有的框架都使用 USB 驱动器作为物理介质，在目标实体隔离网络中传输数据,”ESET 研究人员 Alexis Dorais-Joncas 和 Facundo Muñoz 在一份对这些框架的综合研究报告中说。

实体隔离是一种网络安全措施，旨在通过物理隔离系统与其他不安全的网络，包括局域网和公共互联网，防止未经授权访问系统。这也意味着传输数据的唯一方法是使用物理设备连接，例如 USB 驱动器或外部硬盘。

鉴于该机制是 SCADA 和工业控制系统(ICS)采取防御的最常见方式之一，受到机构支持或参与国家行动的 APT 组织越来越多地将目光投向关键基础设施，希望利用恶意软件渗透实体隔离的网络，以监视有价值的目标。

 

这家斯洛伐克网络安全公司表示，不少于75% 的框架是利用 USB 驱动器上的恶意 LNK 或 AutoRun 文件对实体隔离系统的初步破坏，或者在实体隔离网络中横向移动。

Some frameworks that have been attributed to well-known threat actors are as follows —

以下是一些众所周知的攻击者的框架:

• Retro ( DarkHotel 又名 apt-c-06或 Dubnium)
• Ramsay  (DarkHotel)
• USBStealer ( APT28 ，又名 sedinit，Sofacy，或 Fancy Bear)
• USBFerry ( Tropic Trooper ，又名 apt23或Pirate Panda）
• Fanny  ( Equation Group  )
• USBCulprit  ( Goblin Panda ，又名 Hellsing 或 cycdek)
• PlugX  ( Mustang Panda ) ，以及
• Agent.BTZ ( Turla Group )

研究人员解释说: “所有的框架都设计了自己的方式，但它们都有一个共同点: 毫无例外，它们都使用了武器化的 USB 驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器是否是武器化的。”

连接框架通过在连接系统中部署恶意组件来工作，该系统监视新 USB 驱动器的插入，并自动将攻击代码放置在气隙系统中，而像 Brutal Kangaroo、 EZCheese 和 ProjectSauron 这样的离线框架则依靠攻击者先感染自己的 USB 驱动器来从后门攻击目标机器。

作为预防措施，携带关键信息系统和敏感信息的组织应该谨防对连接系统的直接电子邮件访问，禁用 USB 端口和清理 USB 驱动器，限制可移动驱动器上的文件执行，并定期分析气隙系统中是否有任何可疑活动的迹象。

“保持一个完全实体隔离系统可以提供了额外的保护,” Brutal Kangaroo说。“但是，就像所有其它安全机制一样，实体隔离不是一种万灵药，也不能防止黑客利用系统更新不及时或员工不良操作导致的漏洞。”