內容
2024年7月8日俄羅斯資安公司 Solar 的網路威脅情資中心(4RAYS)資安人員揭露一個親烏克蘭APT 組織:Lifting Zmiy 對俄羅斯政府和私人公司進行一系列的攻擊活動。
攻擊活動追蹤時間為 2023 年 9 月至 2024 年 6 月發生的4 起攻擊事件作分析,目標為俄羅斯工控自動化公司Tekon-Avtomatika 的可程式化邏輯控制器(Programmable Logic Controller,PLC) 設備,型號為 KUN-IP8,並在設備上部署中繼站,進而以此攻擊其他目標,研究人員分析發現受害者遍及各個行業,Linux 和 Windows 系統均無法幸免。
此次威脅研究足以表明,過往大多認為營運科技(Operation Technology, OT)網路攻擊是透過入侵資訊科技(Informatiom Technology, IT)系統做為跳板,進而滲透至OT環境,而本次的攻擊則是先透過入侵OT環境後,轉攻擊IT。此次問題的原因在於PLC設備使用了預設的憑證資訊。
資安人員Jose Bertin 在2022年3月研究指出存在大量使用預設最高管理員憑證的PLC設備,而這些憑證資訊當時公開在 Tekon-Avtomatika 公司的官方網站上,儘管該公司隨後即刪除預設最高管理員憑證,但仍有不少設備並未更改,而APT組織 Lifting Zmiy 即利用這些資訊入侵PLC設備,並將其作為中繼站。此外,這些中繼站IP的供應商為 Starlink Services LLC ,其為SpaceX的一個部門,SpaceX在全世界各地提供衛星網路服務,駭客透過SpaceX的 Starlink 基礎設施來隱蔽其行蹤,且受益於動態IP,以規避物理位置的檢測分析,為駭客提供一個難以被追蹤和監控的攻擊平台。
然而,在此之前已有資安人員對OT環境安全感到憂心,BlackHat USA 2015 演講:INTERNET-FACING PLCS-A NEW BACK ORIFICE 和BlackHat Asia 2016演講:PLC-Blaster:A Worm Living Solely in the PLC共同探討透過感染 PLC 作為中繼站的展示,此次研究是歷史上首個公開研究針對攻擊 PLC 作為 中繼站跳板的攻擊,研究人員寫了一個概念性驗證程式,給其名字為:PLC-Blaster,他是研究人員為了測試而開發的概念性驗證的蠕蟲(一種惡意程式類型)。攻擊對像為西門子所開發的PLC設備,型號為 S7-1200,研究人員是透過將惡意程式寫入至PLC,使PLC作為跳板執行命令作攻擊行為。
此次研究站在防禦的角度上,過往工控資安防禦主要為對HMI和PLC之間的流量建立Baseline來偵測異常,並實施白名單管制,從Purdue Model角度來看,關注的安全防護主要是垂直的。垂直的意思是HMI和PLC之間的通訊,也就是Purdue Model裡面Level 2 和Level 1之間的網路流量,而鮮少探討水平之間的流量檢測,水平的意思就是Purdue Model裡面Level 1和Level 1之間的通訊流量,且過往白名單會去信任PLC,所以透過PLC發出的流量會無條件被信賴,此次研究則利用此問題,透過控制 PLC 作為跳板進行攻擊以規避防禦產品偵測
近期2022 年由工控資安公司Claroty的Team82 研究團隊曾發布白皮書:EVIL PLC ATTACK: WEAPONIZING PLCS,內容研究的攻擊名字取名為:Evil PLC,主要是透過感染 PLC 讓其武器化可以執行命令。
研究人員撰寫了概念性驗證程式並對 7 家工控廠商(洛克威爾公司、施耐德電氣公司、通用電氣公司、貝加萊公司、信捷電氣公司、英國奧威公司、艾默生電氣公司)的PLC設備進行測試,顯示過往PLC多為攻擊的目標,如歷史出現過的資安事件:Stuxnet,Incontroller/Pipedream等,但此研究是將 PLC作為攻擊使用的武器,來進一步對其他系統作攻擊,雖然非真實的案件,但也證明這樣的攻擊情境是值得關注的。
總結來說,過往針對工控的安全大多會無條件去信任PLC,且一般已知攻擊主要都是透過感染IT系統之後擴散攻擊至OT 環境。
而從目前越來越多研究表明存在以PLC做為入侵端點,攻擊其他資訊系統,因此,在OT環境設置上,不能再無條件信任PLC發送的資料,同時也需要做好網路分段,避免所有人機介面(Human-Machine Interface,HMI)都可以跟 PLC 做連接,從而增加 PLC 被寫入惡意程式的可能性,也要盡量即時更新 OT 軟體,已避免存在已知漏洞能直接對 PLC 做寫入。