黑客行为主义者攻击表明入侵工业控制系统很容易

Hacktivist 攻击表明入侵工业控制系统很容易

黑客活动家可能对工业控制系统 (ICS) 了解不多，但他们很清楚这些设备遭到入侵的潜在影响。这就是为什么一些团体一直将这些系统作为目标——这些系统通常不受保护且容易被黑客入侵——以引起人们对它们的关注。

工业网络安全公司 Otorio 在 9 月初报告称，一个名为 GhostSec 的亲巴勒斯坦黑客组织声称它“入侵”了位于以色列的 55 个 Berghof 可编程逻辑控制器 (PLC) 。黑客发布了一段视频，显示他们可以访问 PLC 的管理面板和相关的人机界面 (HMI)。他们还发布了一个屏幕截图，显示 PLC 已停止，对于不太了解工业流程如何工作的人来说，这可能表明可能已经造成了重大破坏。

大约一周后，Otorio 看到同样的黑客活动家因对以色列 ICS 的另一次攻击而受到赞扬，这一次声称能够控制与水安全相关的参数。

在涉及 Berghof PLC 的事件中，该安全公司的研究人员表明，使用 Shodan 搜索引擎很容易识别暴露在互联网上的 PLC，并发现许多可能使用默认或通用凭据进行访问。研究人员确定，虽然受损的 PLC 管理面板确实提供了对某些功能的完全控制，但它不允许用户直接控制工业过程。

Otorio 解释说：“可能会在一定程度上影响流程，但实际流程配置本身并不能仅从管理面板中获得。”

该公司还分析了 GhostSec 的第二轮索赔，发现与水有关的 ICS 实际上与酒店的游泳池有关。

Otorio 研究人员称，黑客活动分子显然声称已经破坏了一个比酒店游泳池的 HMI 更重要的系统——他们可能认为 pH 值和氯参数与饮用水有关。专家们指出，如果不进行分析，就很难判断 ICS 是否与池相关联。

另一方面，根据他们的观察，攻击者不仅可以监控，还可以修改这些参数，这可能对使用池的个人构成健康风险。

虽然相信他们已经获得了可用于控制饮用水参数的系统，但黑客表示他们不会更改任何设置以防止对以色列人民造成伤害，因为这将违背他们的使命和信念。

SecurityWeek 与来自工业网络安全公司的几位专家进行了交谈，以了解他们对黑客活动分子对 ICS 构成的威胁的看法。根据他们的技能和知识，他们能走多远，又能走多远？

众所周知，ICS 经常暴露在互联网上，在许多情况下，这些系统可以通过不安全的配置、漏洞和广泛可用的工具轻松访问。

近十年前，美国政府向组织发出警告，称黑客活动分子能够轻松瞄准工业系统。

在过去几年中，发生了几起显然涉及黑客活动家和 ICS 的事件。2020 年，一个伊朗团体访问了以色列一家供水设施的系统。

最近，一个名为“Gonjeshke Darande”的组织因在伊朗造成混乱而受到赞誉，其中包括迫使一家钢铁公司停止生产和使全国各地的加油站瘫痪。他们声称这些袭击是为了回应伊朗的侵略。

然而，对于某些攻击，尤其是袭击伊朗的攻击，一些专家认为它们可能是假旗——由民族国家行为者以黑客行动主义为幌子发起的攻击。

Radiflow 的首席产品官迈克尔·兰格（Michael Langer）指出，出于政治或军事利益而运作的团体——即使他们没有可供支配的国家资源——也不应被视为黑客行动主义团体。一个例子是与哈马斯有关的加沙网络黑帮。

Langer 将黑客活动主义者定义为“具有政治动机但大多无组织且没有经济赞助/动机的人”和“正在寻找一个简单的机会来利用保护不良的网络并因此向世界展示特定信息的人”。

兰格说，黑客活动家的网络复杂性适中，专注于暴露在互联网上的未受保护的 ICS 或物联网设备。它们通常依赖于开放端口、公开可用的工具，并且它们通常会在短时间内运行以实现特定目标。

“有时他们可能会根据易于妥协的标准来选择目标，而不一定是与目标的相关性。例如，在 Shodan 上搜索来自特定供应商的一些暴露设备，并尝试硬编码默认凭据以在该设备上建立存在，”Langer 解释说。

“大多数目标可能是严重依赖远程访问（用于维护、供应商监控等）的分布式网络或站点，如水设施、楼宇管理系统、市政网络的工业部分或 SMB 网络（如游泳池、交通信号灯） ，餐馆），”他补充说。

黑客行动主义者在瞄准 ICS 时能取得什么成就？

“虽然黑客行动主义网络活动可能主要造成局部破坏和其他影响，但由于 ICS 网络安全的现状相对较差，这些黑客利用频繁的设备错误配置、非强制第三方访问和其他基本安全漏洞也可能导致重大危害公共安全的后果，”兰格说。

Otorio 的安全研究员 David Krivobokov 评论说：“在没有任何适当的安全措施的情况下，可操作的 ICS 系统直接连接到互联网这一事实确实降低了此类威胁的门槛，这使得利用 OT 基础设施在为了吓唬公众而不是破坏网站。此外，在许多情况下，登录到这些系统之一的攻击者的潜在损害不亚于灾难性的。如果他们的目标是吓唬公众，他们所做的正是我如果我是他们会做的事情。”

Nozomi Networks 的 OT 网络安全策略师 Danielle Jablanski 指出了一个有趣的方面。

“在有组织的黑客活动中，可能存在认知失调和活动划分，个人可能认为他们正在做一些小事或微不足道的事情，但实际上，它会产生灾难性的影响。在改变我们赖以维持日常生活的产品、服务和资源的物理过程和控制时，这种情况会更加突出，”Jablanski 解释说。

她指出，Otorio 最近看到的例子中的黑客很可能对 OT 不熟悉。

“我担心的是，当个人缩小知识差距时，他们在这些类型的活动中会有多大的影响力。作为一个行业，我们不知道将导致广泛利用过程控制系统的可用数据量和访问量的确切阈值，”Jablanski 说。

她补充说：“尽管以 ICS 为目标的意图和后果，许多流程都有突发事件，并有适当的故障转移方法来防止发生最坏的情况。我确实认为破坏和降低过程控制系统的能力会带来重大的社会风险。这真的是何时发生更多 ICS 事件，而不是是否发生的问题。”

Claroty 的安全研究主管 Sharon Brizinov 指出，在某些情况下，威胁行为者“声称可以访问关键基础设施以获得关注、展示技术能力并声称某种政治胜利就足够了”。

“尽管如此，资产所有者和运营商不应掉以轻心。考虑到一个团体可能获得的访问类型，存在破坏的可能性，例如，没有什么能阻止黑客活动家变成敲诈勒索者并声称窃取数据或威胁用勒索软件感染关键 IT 系统，”Brizinov 说。

Dragos 情报内容主管 Thomas Winston 表示，对 ICS 的黑客活动攻击范围通常很小——它们可能会导致暂时失去视野并可能失去控制。然而，即使是这样一个临时或有限的事件也可能给水组织等机构带来严重挑战，并影响公众对水安全的信心。

另一方面，Winston 指出，“总有例外，但要对工厂的稳定运行实现广泛的长期中断，通常需要 ICS/OT 知识和非 Windows ICS/OT 设备的访问权限。”

Winston 指出，对 ICS 的破坏性攻击需要大量资源，包括资金、研究和人员方面的资源。然而，他表示，经常会看到攻击者瞄准企业 IT 网络并意外发现连接或分段不良的 OT 网络。

“在 2016 年的Kemuri Water Company 违规事件中，我们看到黑客攻击者攻击 Kemuri 的企业 IT，利用已知的 IT 漏洞，这样做他们发现了未受保护的 OT 管理凭据，”Winston 说。

SynSaber 的首席技术官兼联合创始人 Ron Fabela 表示，针对 ICS 的黑客活动家、网络犯罪分子和供应商研究人员的趋势正在增加。最近的一个例子是Cl0p 勒索软件团伙以英国南斯塔福德郡自来水公司为目标，并声称获得了对 SCADA 系统的访问权限。

“相关方通常会使用 Shodan 等工具在互联网上‘发现’ICS 屏幕。这些屏幕截图发布在网上是为了声名狼藉，也许是为了羞辱目标组织，但很少执行或宣布任何影响，”法贝拉说。“现在，甚至供应商研究团队都在夸大 ICS 设备或软件中发现的漏洞，以增加流量和关注度，但无法证明这种利用在现实世界中的可行性。”

Fabela 补充说：“这些例子的共同点是缺乏执行 ICS 黑客攻击的最后一步：根据目标采取行动来破坏流程。大多数“ICS”安全事件实际上并不是对控制系统本身的直接攻击。无论是对控制系统组织的 IT 网络进行赎金的团体，还是有人在社交媒体上发布 HMI 屏幕以取乐，或者安全供应商营销做得太过火，普遍而言，没有人愿意为实际运营中断的影响负责。

“也许由于只有少数民族国家愿意跨越这条‘红线’，声称往往被关于永远不会发生的影响的荒谬‘假设’陈述夸大。虽然几乎不可能确定对手的确切意图，但我们社区希望对工业控制系统安全性的兴趣不断增加，不会因为流程中断而停止。”

组织应该做什么？

“通过保护互联网访问、强化身份验证机制、通过选定的 MSSP 执行基本的 ICS 安全监控、强制执行基本的网络安全卫生等，可以轻松缓解这些攻击，”Langer 说。

他补充说：“企业应通过定期进行网络风险评估，不仅在 IT 网络中，而且通过 OT 部分进行定期网络风险评估，同时考虑到实际业务和环境的重要性，为这种威胁和更严重的威胁做好准备。”

原文始发于微信公众号（祺印说信安）：黑客行为主义者攻击表明入侵工业控制系统很容易