|
一个黑客组织声称对工业控制系统 (ICS) 设备的攻击,但行业专业人士质疑他们的说法。 被称为 GhostSec 的黑客组织最近的行动重点是“惩罚”俄罗斯入侵乌克兰,该组织声称对远程终端单元 (RTU) 进行了有史以来第一次勒索软件攻击,这是一种用于通信的 ICS 设备现场设备和监控与数据采集 (SCADA) 系统。 “我们刚刚加密了历史上第一个 RTU!一种专为 ICS 环境设计的小型设备,”黑客说。“编码攻击 ICS 设备的勒索软件时代刚刚成为现实,而我们是第一个。” 该组织表示,被黑设备位于俄罗斯最大的盟友之一白俄罗斯。虽然攻击被描述为勒索软件,因为设备上的文件已加密,但并没有实际的勒索要求。 几位专家,包括来自 ICS 安全公司的专家,根据他们提供的屏幕截图分析了黑客活动分子的说法。屏幕截图显示,攻击者设法加密了设备上托管的一些文件,就像在勒索软件攻击中一样。
大多数专家指出的第一个方面是目标设备是 Teleofis RTU968,该产品被俄罗斯供应商描述为 3G 路由器,旨在将工业和商业设施连接到互联网。虽然该设备被标记为 RTU,并且由于它支持工业接口而在技术上可以用作 RTU,但它并不是专门为此目的而设计的。 此外,与西门子等主要供应商生产的运行为工业应用定制的操作系统的 RTU 不同,Teleofis 设备运行的是 OpenWrt,这是一种为嵌入式设备设计的广泛使用的 Linux 操作系统。 可以在 Linux 设备上加密文件的勒索软件并不新鲜,并且没有迹象表明在 Teleofis 设备上加密文件更加困难。此外,工业网络安全公司SynSaber指出,攻击这些提供远程连接到串行设备的通信网关也不是什么新鲜事。 “鉴于这些设备运行的是通用 Linux 内核,而这些内核恰好提供与串行设备(当然,可能是工业设备)的连接,因此 GhostSec 提供的证据中没有任何证据表明工业设备受到了专门的攻击,或者这种攻击代表了一种新的工业黑客的范式转变,”SynSaber 的首席技术官 Ron Fabela 解释道。 工业网络安全公司 Otorio 也分析了黑客的说法并指出,“为了在普通 RTU 上创建勒索软件类型的攻击,需要 GhostSec 拥有更深入的 OT 知识和资源,例如试验真正的 OT 工程工具和设备。Teleofis 设备基于 OpenWrt,基本上是 Linux,没有引入任何新的、真正的 OT 功能。” Otorio 认为攻击者通过利用弱身份验证获得了对路由器的初始访问权限。 网络安全公司 Claroty 的调查得出了同样的结论。其研究人员发现,该设备具有预配置的 SSH 服务,可以使用预配置的 root 密码访问该服务,该密码很容易被破解。 Claroty在俄罗斯、哈萨克斯坦和白俄罗斯发现了近 200个暴露在互联网上的 Teleofis RTU968 路由器,其中 117 个启用了 SSH 服务。 研究员 Joe Slowik 还分析了 GhostSec 的声明,发现黑客的勒索软件显然甚至无法加密设备上运行的所有文件——使用中的文件未加密,这限制了攻击的影响。 这不是 GhostSec 第一次声称入侵了 ICS 设备。9 月,他们声称在以色列劫持了可编程逻辑控制器 (PLC) 和人机界面 (HMI),但他们的说法似乎再次被夸大了。 虽然 GhostSec 的说法可能并不完全准确,但勒索软件攻击可能而且已经给工业组织及其使用的工业系统造成严重问题,即使在许多情况下 ICS 不是直接针对的。 此外,研究人员表明,威胁行为者实际上可以发起直接针对 ICS 设备的勒索软件攻击。Red Balloon Security 一年前展示了恶意行为者如何在保护继电器上实施勒索软件。 另一方面,这项研究和最近发生的事件并不一定意味着直接针对 ICS 设备的勒索软件攻击将在不久的将来变得普遍和普遍。 “'真正的’工业勒索软件在 RTU 或 PLC 级别的要求和影响使得犯罪分子不太可能在其中活动,”Slowik 说。“如上所述,回报似乎太微薄,无法证明与此类行动相关的技术投资和政治风险。取而代之的是,让这些实体留在他们已经居住了一段时间的同一空间中,在经济上更有意义:影响 IT 和类似 IT 的系统以从组织那里获得付款,同时试图避免“最坏情况”的社会影响引起政府和执法部门的更多关注。” 来源:securityweek |
|
|
