黑客攻擊了軍方熱成像儀！軍事工控基礎設施網絡安全引關注

研究人員發現，網絡犯罪分子正在使用默認憑證訪問與屬于幾支國防軍的工業控制系統(ICS)有關的產品和軟件。 Cyble Research & Intelligence Labs(CRIL)的研究人員在暗網上發現了幾篇帖子，其中包含網絡犯罪分子使用的屏幕截圖，聲稱他們可以訪問軍方和執法機構(LEA)使用的數據和系統。

這類設備是國家服務的中流砥柱——網絡犯罪分子很清楚這一事實。由于宣傳對這些系統的攻擊具有深遠影響，這會激勵他們利用ICS。ICS設備還有助于監管大量軍事設備，特別是熱成像(TI)攝像機，它們長期以來一直是邊境監視的基本要素，并協助軍事和執法機構(LEA)保護敏感設施。因此，這些機構不僅要保護這些監視資產免受物理損壞，還要保護它們免受網絡安全風險的侵害。

網絡罪犯聲稱控制軍用ICS

根據暗網上的帖子，網絡犯罪分子聲稱可以訪問北非國家軍事基地的監控和數據采集(SCADA)系統以及熱像儀。

他們張貼了所謂的熱像儀系統檢修面板的照片來證明這一點。該黑客團體還聲稱擁有IP地址，CRIL研究人員證實這些地址是合法的。

熱像儀認證頁面的屏幕截圖（圖片來源：Cyble）

該面板屬于一家生產軍用級TI相機的大型設備制造商。CRIL研究人員指出，如果他們能夠訪問這些系統，他們就可以獲得重要物理資產、天氣、周界、自動目標識別以及移動目標和監視危險環境的實時間諜機會。

這篇在暗網上分享的帖子包含據稱來自北非軍事基地的航拍圖像及其 IP 地址。他們似乎擁有網絡訪問代碼，研究人員認為，他們可能已經利用這些代碼來獲得對資產的網絡訪問權限。

一張軍事基地鳥瞰圖的截圖（圖片來源：Cyble）

除了樣本，TA 還發布了另外兩張圖像，反映了地圖上IP地址的物理位置和位于北非的軍事基地的航拍圖像。

CRIL研究人員根據鳥瞰圖中產品的暴露情況進行了進一步調查，確定在線掃描儀發現了超過607個暴露的同一產品實例。

威脅行灶得 (TA) 發布的圖像鏈接包括了IP地址

熱像儀系統的現狀

研究人員在暴露于互聯網的熱像儀系統中發現了多個漏洞，這些漏洞可能導致網絡犯罪分子利用這些系統對軍事基地發動網絡攻擊。

除了憑據和信息泄露之外，他們還可以進行未經身份驗證的遠程代碼執行。

顯示超過607個暴露的熱像儀實例的位置（圖片來源：Cyble）

利用配置錯誤的攝像頭系統，網絡犯罪分子可以破壞對軍隊的監視，并通過暴露的內部網絡進行網絡間諜活動。他們可以進行偵察以訪問系統數據。

使用熱像儀進行精細偵察可以讓入侵者對受害組織發起進一步的網絡攻擊。

互聯網上曝光的熱像儀截圖（來自Cyble）

Modbus協議漏洞利用

根據該帖子，Modbus協議是跨工業網絡的重要通信渠道，也被網絡犯罪分子利用。

除了SCADA系統，黑客聲稱一直在進行偵察以獲取系統數據，包括供應商名稱、產品、線圈以及他們使用的電子設備的版本號。

CRIL研究人員指出，Modbus協議中的漏洞可被利用將受感染的數據包發送到Modbus上的可編程邏輯控制器。這可以停止影響關鍵基礎設施工作的操作。

該報告進一步闡述了網絡犯罪分子如何使用metaspoilt框架來影響ICS系統，因為它提供了多個模塊來發起偵察攻擊。

基于來自Cyble全球傳感器情報(CGSI)網絡的情報，研究人員證實，在過去30天內，通過Modbus協議進行了多次利用嘗試，如下所示：

CGSI對Modbus協議利用嘗試的觀察（圖片來源：Cyble）

Rainbow SCADA的Web界面也可能使用系統的默認工廠憑據作為目標。Rainbow SCADA是一種基于互聯網的遠程監控工具，適用于所有 Datakom產品。它用于監控電表和控制器，這使得利用它成為網絡犯罪分子和軍方危險受害者的理想目標。

威脅行為者分享的SCADA截圖（來自Cyble）

據推測，SCADA系統（使用最廣泛的工具之一）被利用的原因之一是網絡分段效率低下和資產可見性不佳。暴露在互聯網上的SCADA系統不僅會危及運營，還會危及處理這些系統的員工的生命，尤其是那些使用重型機械的員工。

Cyble最后認為，為了標準化和未來升級，軍用硬件越來越多地采用商用現成(COTS)技術。這些關鍵組件在工業和軍隊中的重疊使用導致了潛在的網絡安全風險。暴露的ICS實例、錯誤配置的資產和漏洞不僅會導致工業故障，還會導致一些物理安全問題，這在他們之前的分析中得到了強調——“無防御的關鍵基礎設施”。網絡犯罪分子廣泛使用開源工具和腳本對ICS資產進行偵察和利用，對OEM和供應商進行系統和深入的研究，以針對涉及國家安全的實體。這對國家安全構成了重大威脅。

CRIL研究人員建議：

• 實施適當的網絡分段以防止攻擊者執行橫向移動并最大程度地減少關鍵資產在互聯網上的暴露。
• 將關鍵資產置于正確配置和更新的防火墻后面。
• 利用軟件物料清單(SBOM)獲得對資產的更多可見性。
• 使用官方供應商的最新補丁和緩解措施來更新軟件、固件和應用程序。這是防止攻擊者利用漏洞所必需的。
• 實施適當的訪問控制。
• 定期審計、漏洞和滲透測試練習是發現攻擊者可能利用的安全漏洞的關鍵。
• 盡可能實施多重身份驗證。
• 組織應始終遵循強口令策略并更改出廠默認口令。
• 針對組織內員工的網絡安全意識培訓計劃。
• 實施安全備份、存檔和恢復流程。
• 作為COTS供應商供應鏈管理的一部分，所有軍事設備供應商都應能夠遵守質量條款并接受審計。這應該在批準的供應商列表的幫助下完成。