真正的工業勒索來襲!GhostSec黑客組織宣稱加密了RTU設備
匿名者旗下的GhostSec黑客組織聲稱它對RTU(遠程終端單元)進行了“有史以來第一次”勒索軟件攻擊,RTU是一種通常部署在工業控制系統 (ICS) 環境中的小型設備。匿名者黑客組織附屬機構表示,它在其最喜歡的行動“#OpRussia”中執行了GhostSec勒索軟件,并解釋說“只有他們才能支持#Ukraine。”
真正的RTU勒索來襲?
Anonymous Operations在其Twitter消息中寫道:“每個人都知道,自從我們開始攻擊ICS以來,GhostSec一直在‘提高標準’,現在是時候將黑客歷史推向更遠的地方了!是時候在新的黑客游戲中寫下我們的名字,開始新的比賽了。每個人顯然都聽說過一個勒索軟件攻擊了Windows桌面、一些服務器、一些物聯網,但我們想宣布第一個被攻擊的RTU!”
該小組補充說:“是的!我們剛剛加密了歷史上第一個RTU!專為ICS環境設計的小型設備!我們知道,你知道,這個時候遲早會到來。嗯,來了!”
Anonymous進一步補充說,“編碼攻擊ICS設備的勒索軟件時代已經成為現實,我們是第一個像以前直接入侵俄羅斯火車的人!這個勒索軟件并不打算非常復雜(這并不意味著我們不能編寫復雜的惡意軟件),因為我們只是想加密并向世界展示它。”
業界反應
工業網絡安全公司Claroty的研究部門Team82 的研究人員在周四(1月12日)的一篇博客文章中分析了黑客組織的聲明,稱GhostSec在一個公共電報組中聲稱它已經能夠加密具有SCADA(監控和控制)功能的工業RTU路由器,包括支持工業串行接口RS-232和RS-485以及MODBUS協議變體。
“GhostSec被稱為Anonymous的附屬組織,從事出于政治動機的黑客攻擊,包括本周聲稱它可以訪問并竊取來自巴西政府的電子郵件。它之前也曾與可編程邏輯控制器和其他OT設備的攻擊破壞有關,”它補充道。
Claroty研究人員表示,在這次所謂的襲擊中,該組織顯然將注意力轉向了俄羅斯對烏克蘭的入侵。“根據該組織在Telegram上提供的屏幕截圖,有問題的TELEOFIS RTU968 v2上的加密文件附加了后綴“.f***Putin”,”它補充道。
TELEOFIS RTU968 V2是一款新型3G路由器,支持商業和工業設施與互聯網的有線和無線連接。內置的3G調制解調器將在蜂窩運營商網絡覆蓋的任何地方提供高速無線互聯網訪問。它可以被視為遠程終端單元(RTU),因為它支持工業接口RS-232和RS-485,并且能夠將工業協議Modbus RTU/ASCII轉換為Modbus TCP。
Team82透露,該組織在Telegram上聲稱被入侵的設備來自白俄羅斯,也沒有要求贖金,而是留下了一條長長的消息,其中包括:“沒有通知信。” 沒有付款。
研究人員表示:“通過公共互聯網掃描,我們發現俄羅斯、哈薩克斯坦、白俄羅斯有194臺暴露在互聯網上的設備,其中117臺啟用了SSH服務。” “我們很想知道最初的攻擊向量是什么,所以我們下載了固件并對其進行了研究。”
此外,“我們發現該設備運行在32位ARM架構上,配備ARM926EJ-S 處理器,該處理器是ARM9通用微處理器系列的一部分。它運行OpenWrt 21.02.2操作系統,這是一個帶有BusyBox的Linux發行版。”
在檢查了設備的配置和rc[dot]d啟動腳本后,Team82研究人員表示,他們“得出的結論是,該設備在端口22(默認端口)上帶有預配置的SSH服務,并允許使用root口令作為一種認證方法。此外,該設備帶有一個弱的預配置root口令,可以在兩秒鐘內用 hashcat口令恢復工具破解。”
Claroty研究人員寫道,黑客行動主義團體雖然主要出于政治動機,但已證明在某些情況下有能力破壞企業和運營。“GhostSec的最新炫耀活動再次表明,這些組織有興趣尋找ICS設備,如果受到攻擊,這些設備可能會影響工業自動化環境中的生產力和安全性,”他們補充道。
另一家工業網絡安全供應商SynSaber的首席技術官Ron Fabela在另一篇博文中寫道,鑒于這些設備運行的是通用Linux內核,而這些內核恰好提供與串行設備(當然可能是工業設備)的連接,“在GhostSec提供信息中沒有什么證據,表明工業受到了專門的攻擊,或者這種攻擊代表了工業黑客的新范式轉變。”
Fabela進一步擴展說,僅僅因為某些東西被標記為RTU并不意味著加密其文件是開創性的或創新的。他還指出,破解和加密Linux設備并不是什么新鮮事。此外,針對此類設備(提供與串行設備的遠程連接的通信網關)的漏洞利用和黑客攻擊也并不新鮮。
“無論技術上是否真實,GhostSec、Cl0p幫派和其他組織都在繼續研究和發現OT 攻擊和ICS黑客攻擊,”Fabela在周三(11日)的帖子中寫道。“范式轉變并不是說有人可以攻擊Linux/OpenWRT設備。相反,它是威脅組織如何采取傳統企業攻擊并將其應用于工業環境的關鍵。通過像shodan[dot]io這樣的工具在線找到這些確切的設備也很簡單,”他補充道。
Fabela說,GhostSec的這個例子表明新的威脅組織對ICS缺乏了解。“這也讓社區得以一窺該組織的意圖,否則很難衡量。在查看了所提供的證據之后,可能很容易駁回 GhostSec的大膽主張。”
他進一步強調,事實仍然是ICS終將成為目標,威脅行為者看到了攻擊(或聲稱攻擊)ICS的價值。
網絡安全研究員Joe Slowik在周四(12日)的一篇帖子中指出,正如多方記錄的那樣,影響工業運營和環境的勒索軟件在很大程度上是一件“真實的事情”。“不過,此類操作的范圍和性質幾乎肯定會限于迄今為止所觀察到的情況:針對IT和基于IT的系統的運營會產生無意的(有時非常有限的)工業影響,”他補充道。
“GhostSec和Red Balloon概述的場景可能會繼續作為概念驗證和黑客大會上華麗演示的領域,”Slowik表示。“然而,如果此類嵌入式設備勒索軟件出現在工業環境(尤其是關鍵基礎設施網絡)中,我們應該立即質疑此類活動的性質和起源,因為此類事件的經濟和聲譽影響將有利于國家支持的實體,而不是到更傳統的犯罪貨幣化,”他補充道。
10月,另一家工業網絡安全公司OTORIO透露,GhostSec黑客組織繼續展示其 ICS黑客技能,現在已將其支持轉向伊朗最近的蓋頭抗議浪潮。
“該組織已經發布了幾張圖片作為成功‘入侵’系統的證據。這些顯示了在成功登錄后使用Metasploit框架的SCADA模塊和MOXA E2214控制器管理門戶網站,”OTORIO的研究團隊負責人David Krivobokov當時透露道。“雖然尚不清楚‘被破壞的’系統有多嚴重,但這再次證明了對安全控制措施不足的ICS系統進行攻擊的容易程度和潛在影響。”
本周早些時候,Red Balloon研究人員檢測到西門子SIMATIC和SIPLUS S7-1500 系列PLC(可編程邏輯控制器)中存在多個架構漏洞,攻擊者可以利用這些漏洞繞過所有受保護的啟動功能,從而導致對操作代碼的持續任意修改和數據。S7-1500影響大約120種西門子產品和解決方案,是一款高性能控制器,在西門子PLC產品中被認為具有全面的安全保護。
ICS勒索是現實且緊迫的威脅
2020年初,工業網絡安全公司Drgos部跟蹤了名為EKANS的勒索軟件。在其分析報告中,Dragos稱,EKANS勒索軟件于2019年12月中旬出現,具有附加功能以強制停止許多進程,包括與ICS操作相關的多個進程。盡管目前所有跡象都表明控制系統網絡上存在相對原始的攻擊機制,但靜態“攻殺清單”中列出的進程的特殊性表明,之前針對工業領域的勒索軟件并沒有表現很強的目的性。經過發現和調查,Dragos確定了EKANS與勒索軟件MEGACORTEX之間的關系,該勒索軟件還包含一些ICS特有的特征。在其報告中描述的勒索軟件中以工業過程為目標的標識是唯一的,代表了第一個已知的ICS特定勒索軟件變體。
無論GhostSec的RTU“勒索軟件”的技術優勢如何,“真正的”工業勒索軟件在RTU或 PLC級別的要求和影響使得犯罪分子不太可能在該領域開展活動。考慮到與此類行動相關的技術投資和政治風險,回報似乎太微薄,無法證明兩者都是合理的。取而代之的是,讓這些實體留在他們已經熟悉的領域更有意義,特別在經濟上更有意義:影響IT和類似IT的系統以從組織那里獲得付款,同時試圖避免“最壞情況”的社會影響引起政府和執法部門的更多關注。
然而,GhostSec嘗試和Red Balloon描述的類似功能肯定會出現。但是,此類行為并不代表犯罪活動的新興趨勢,反而可能代表更陰險的事情:國家支持的惡意行為者使用類似勒索軟件的運營作為破壞性網絡攻擊的遮羞布。這種偽裝成勒索軟件的行為已經發生過多次,其影響、后果和誤導程度各不相同。然而,此處Red Balloon 描述的“勒索軟件”場景一部分的操縱或禁用工業設備的案例可能是一種有趣的方式,可以為攻擊實體希望混淆參與和歸因的網絡物理操作提供掩護。
總而言之,影響工業運營和環境的勒索軟件是多方記錄的非常“真實的東西”。但是,此類操作的范圍和性質幾乎肯定會限于迄今為止所觀察到的情況:針對IT和基于IT 的系統的操作,具有無意的(有時非常有限的)工業影響。GhostSec和Red Balloon概述的場景可能仍然是概念驗證和黑客會議上華麗演示的領域。然而,如果此類嵌入式設備勒索軟件出現在工業環境(尤其是關鍵基礎設施網絡)中,應該警惕并質疑此類活動的性質和起源,因為此類事件的對于國家支持的行為體更有意義。
