GhostSec(幽灵安全)黑客团队,在9月份刚刚入侵以色列55家Berghof PLC后,又对伊朗实施了网络攻击。
该组织在网络上发布了一些图片以证实他们成功劫持了系统,图片上显示了MOXA E2214控制器管理员网站成功登录的画面。
下图是黑客执行攻击时的屏幕截图,他们使用了metasploit中的admin/ scada/ multi_cip_command模块,该模块能够使攻击者利用EtherNet/IP协议向工业设备发送未认证的命令,以此来干扰设备的正常运行。
该模块使用了STOPCPU, CRASHCPU, CRASHE THER, 和 RESETETHER 指令,如下图代码所示:
更进一步调查发现,shodan.io网站上显示GhostSEC使用的ip地址直连到伊朗电信公司PJS,如下图所示:
为了更好了解这个模块的运行机制,研究团队用Delta DOP-107WV做了实验(Delta DOP-107WV HMI在水处理、集中供热、运输、制造等行业被广泛使用),实验中,当发送STOPCPU指令后,攻击者就掌握了设备的控制权。
研究人员Paul Smith称大多数像GhostSec一样仅利用metasploit工具成功实施攻击的黑客,他们的攻击方式都停留在问题的表面,在这种情况下直接的网络交互就能导致HMI完全停止运行。然而,这种情况还不是研究人员最担心的,如果GhostSec团队使用慢速战术(low and slow tactic,一种 DoS 或 DDoS 攻击,它依赖于以应用程序或服务器资源为目标的极慢流量的小流。与更传统的暴力攻击不同,low and slow tactic需要很少的带宽并且很难缓解,因为它们产生的流量很难与正常流量区分开来。)获得了软件的权限,利用程序深处的硬编码帐户的漏洞,在可能是关键系统的系统中植入后门,那将是一种更为危险的情况。
对此,各厂家应该确保OT设备没有直连到互联网上,特别是它们的操作服务,除此之外,应该时刻谨记最简单的安全操作,比如更换默认密码等。
文章参考:
https://blog.scadafence.com/ghostsec-attacks-on-iranian-infrastructure
公司简介
Company Profile
浙江国利网安科技有限公司(简称“国利网安”)是一家专注工业企业信息安全、工业互联网安全和工业数据安全,集研发、生产和销售为一体的创新型高新技术企业,为我国工业企业和关键基础设施安全提供业界领先的产品及解决方案。
公司核心研发团队自2010年起潜心工控攻防和产品化研究,自主研制完成全面覆盖安全防护、安全监测、安全检测、安全运维、安全靶场、安全服务、工业数据及应急响应等功能的工控安全产品。
国利网安始终坚持“为客户创造价值”的企业价值观,以提升工业企业和国家关键基础设施安全防护能力为己任,致力于成为中国工控网络安全的一流企业。
原文始发于微信公众号(国利网安):GhostSec攻击伊朗基础设施