可用-黑客

俄罗斯黑客攻击工业设施,在严冬季节切断乌克兰城市供暖

作者: 内容转载 日期: 2024-07-24 分类: 恶意软件 暂无评论
  • 浏览次数 173
  • 喜欢 0
  • 评分 12345

去年 1 月,俄罗斯黑客尝试了让乌克兰人受冻的方法:一种恶意软件样本,让黑客直接进入乌克兰供暖设施,在严寒的冬季切断数百栋建筑的暖气和热水。

工业网络安全公司 Dragos 周二披露了新发现的与俄罗斯有关的恶意软件样本,分析报告认为该恶意软件在 1 月底针对乌克兰利沃夫的一家供暖设施发动的网络攻击中被使用,导致 600 栋建筑的服务中断约 48 小时。

在这次攻击中,恶意软件修改了温度读数,欺骗控制系统冷却流经建筑物管道的热水,这是黑客直接破坏供暖设施的首例确认案例。

Dragos 的恶意软件报告指出,攻击发生时利沃夫正经历典型的一月寒流,接近该地区一年中最冷的时节。Dragos 分析师 Kyle O’Meara 说:“有人在隆冬时节关掉你的暖气,这真是太糟糕了。”

Dragos 将该恶意软件称为 FrostyGoop,它是迄今为止在野外发现的不到 10 个攻击工业系统的代码样本之一,这些代码旨在直接与工业控制系统软件交互,以产生物理效果。

也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件,Modbus 是一种常用且相对不安全的协议,用于与工业设备进行通信。

Dragos 于 4 月首次发现了 FrostyGoop 恶意软件,当时该恶意软件以多种形式上传到在线恶意软件扫描服务(最有可能是 Google 旗下的扫描服务和恶意软件存储库 VirusTotal,尽管 Dragos 拒绝确认是哪项服务)——可能是恶意软件的创建者上传的,目的是测试它是否被防病毒系统检测到。

Dragos 表示,通过与乌克兰网络安全情况中心(乌克兰安全局网络安全和情报机构的一部分)合作,他们了解到该恶意软件曾被用于从 1 月 22 日开始针对乌克兰西部最大城市利沃夫的一家供暖设施的网络攻击。

Dragos 拒绝透露受害公用事业公司的名称,事实上,该公司表示,由于该公司是从乌克兰政府那里得知这一攻击目标的,因此尚未独立确认这家公用事业公司的名称。

Dragos 对此次攻击的描述与Lvivteploenergo 公用事业公司大约在同一时间发生的供暖中断的报道非常吻合,据当地媒体报道,此次中断导致近 10 万人无法供暖和使用热水。

利沃夫市长 Andriy Sadovyi 当时在Telegram 消息服务上发帖称此次事件为“故障” ,但补充说,“怀疑公司工作系统受到外部干扰,目前正在核实这一信息。” 1 月 23 日,Lvivteploenergo 的一份声明更明确地将此次供暖中断描述为“黑客攻击的结果”。

Lvivteploenergo 和乌克兰安全局均未回应《连线》的置评请求。乌克兰网络安全机构国家特别通信和信息保护局拒绝置评。

Dragos 在对供热设施攻击的分析中表示,FrostyGoop 恶意软件被用来攻击 ENCO 控制设备(立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具),并改变其温度输出以关闭热水流量。

Dragos 表示,黑客实际上在攻击发生前几个月(2023 年 4 月)就利用易受攻击的 MikroTik 路由器作为入口点获得了网络访问权限。然后,他们在网络中建立了自己的 VPN 连接,并重新连接到莫斯科的 IP 地址。

尽管与俄罗斯有关,但 Dragos 表示,它尚未将供热设施入侵事件与其追踪的任何已知黑客组织联系起来。Dragos 特别指出,它尚未将黑客攻击与 Kamacite 或 Electrum 等常见嫌疑组织联系起来,这是 Dragos 内部对一些团体的称呼,这些团体被更广泛地统称为Sandworm,是俄罗斯军事情报机构 GRU 的一个单位。

Dragos 发现,虽然黑客利用对供热设施网络的入侵发送了 FrostyGoop 的 Modbus 命令,这些命令针对 ENCO 设备并破坏了该设施的服务,但该恶意软件似乎托管在黑客自己的计算机上,而不是受害者的网络上。

这意味着,仅靠简单的防病毒软件,而不是网络监控和分段来保护易受攻击的 Modbus 设备,可能无法阻止该工具在未来的使用,Dragos 分析师 Mark “Magpie” Graham 警告说:“它可以远程与设备交互,这意味着它不一定需要部署到目标环境中。”Graham 说。“你可能永远不会在环境中看到它,只能看到它的效果。”

虽然利沃夫供暖设施中的 ENCO 设备是网络内部攻击的目标,但 Dragos 还警告称,它发现的早期版本的 FrostyGoop 被配置成针对可通过开放互联网公开访问的 ENCO 设备。

Dragos 表示,在自己的扫描中,它发现了至少 40 台类似的 ENCO 设备,它们同样存在在线漏洞。该公司警告称,ENCO 控制器主要部署在东欧,包括乌克兰、罗马尼亚和立陶宛。大约有 46,000 台暴露在互联网上的 ICS 设备通过此协议进行通信。

Dragos 表示:“FrostyGoop 能够通过 Modbus TCP 与 ICS 设备进行通信,这威胁到了多个行业的关键基础设施。鉴于 Modbus 协议在工业环境中的普遍性,这种恶意软件可能会通过与传统和现代系统进行交互,对所有工业领域造成破坏。”

“我们认为 FrostyGoop 能够与大量此类设备进行交互,我们正在进行研究,以验证哪些设备确实存在漏洞。”Graham 说。

虽然 Dragos 尚未正式将利沃夫袭击事件与俄罗斯政府联系起来,分析师 Graham 本人并不回避将这次袭击描述为俄罗斯对该国发动的战争的一部分——这场战争自 2022 年以来就用炸弹残酷地摧毁了乌克兰的关键基础设施,而网络攻击早在 2014 年就开始了。

Graham 认为,在乌克兰冬季以网络攻击瞄准供暖基础设施实际上可能表明乌克兰人击落俄罗斯导弹的能力不断增强,将俄罗斯推回到黑客破坏的轨道,尤其是在乌克兰西部。

 

转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/JuwKahvFvIBM4kcB5TgrLA

封面来源于网络,如有侵权请联系删除