在2016年工业控制系统(ICS)网络安全大会上,施耐德工业防火墙被曝存在漏洞后不久,施耐德又被曝出电气控制面板、ICS(工业控制系统)和关键基础设施均处于风险之中。一时间,ICS话题也变得火热,ICS安全也引起了大家的重视。 安全公司趋势科技也发现,BB机(寻呼机)也能对ICS造成严重威胁。
虽然现在针对ICS的攻击活动较少,但我们还是不能掉以轻心。我们来看看过去两年在ICS都发生了什么?
工控领域在用BB机!
当前,几乎所有的工业组织都面临数字攻击的威胁。为了抵御这些攻击者,许多企业设立了通知系统,企业的终端用户可以通过这个系统来接收通知和其他的重要消息。某些企业的通知系统是基于手机技术建立的,但是考虑到距离(边远地区)这个问题,移动电话预警就不太灵光了。
在这种情况下,企业就另辟蹊径,用起了寻呼机——一种允许交换SMS信息和短邮件的技术。
不过,问题也随之而来。我们知道,BB机之间发送的消息通常是未加密的,在给我们便利的同时,也给攻击者提供了可乘之机。黑客可以窃取员工之间的BB机通讯信息(这类信息被称作page:寻呼机英文名为pager,而pager上显示每一屏都叫做page)。根据这些page的内容,攻击者就可以使用被动情报了解一个工业组织并精心策划攻击计划。
那么工业控制环境中交换的page具体是什么样的内容?包含什么类型的信息?
为了找到答案,趋势科技的研究人员花了20美元买了一个加密狗,利用他们在SDR(software-defined radio)方面的知识从工业组织收集page信息。然后通过分析收集到的数据来确定在ICS环境中使用BB机时可能被泄漏到外界的信息类型。
重大收获
从2015年1月25日到4月25日,研究人员共收集到了54 976 553条page信息。通过数据分析发现,大约三分之一(18 368 210条)为数字字母。
Screen-Shot-2016-11-02-at-12.19.32-PM-768x326.png
Source: Trend Micro
研究人员对这些内容进行了解析:
经过4个月的观察,我们发现这些信息包括联系人信息、在工厂和发电厂内的位置、工业控制系统的阈值设置、被消息淹没的工程师、可能未报告的限制事件、内网的IP地址、主机名、SQL表名和查询。
他们列举了一些事实:例如,在一座核电发电厂内,他们发现漫天飞舞的都是未加密的信息,这其中不乏比较机密的重要信息,如减少泵的速率,火灾事故,未造成人员伤亡的核污染。他们还发现,在一座变电所里,黑客可以通过窃取工作人员之间的联系信息了解到该公司的基础设施信息。
Source: Trend Micro
可能会发生的攻击场景
一旦黑客获得了这些数据,他们就可以利用这些数据搞点事情了。
一、如果page信息包含类似邮件地址、项目代码、员工姓名之类的个人信息,黑客就会以直接连接到组织的网络为目的,发起社会工程攻击,一旦得手,他们就要搞些事情出来,比如说进行工业间谍,非法获取机密数据,或者是进行潜在的破坏,比如破坏企业的重要系统。
二、黑客可能会利用泄漏信息,在适当的时刻,进入工业组织去搞些事情。
一旦黑进工业组织内部,他们可以监控建筑物的温度设置,照明设置,以及其他传感器的设置,然后趁四下无人之机更改这些设置。
三、攻击者如果清楚了某个组织使用的page格式,他们就可以在这个组织的page中注入他们自己的page。研究人员也成功地证明:只要掌握了正确的信息和适当的无线电/天线功率,你就可以随心所欲地向任何BB机发送信息。
攻击者还可以利用以上功能,去进行一些二次攻击,比如数据窃取、社会工程以及创建一个可能影响企业运营的虚假紧急情况。
如何应对?
关于如何应对,趋势科技给你支了几招:
1.对寻呼通信进行加密,即使那只是一个简单的预共享密钥。
2.对页面发送者进行验证,防止攻击者的欺骗。
3.在使用email-pager网关这种通讯模式的时候,注意审核各种泄漏的可能性。
后记
在过去两年中,攻击者向相当数量的中东工业组织发送了网络钓鱼邮件;在未得到授权的情况下,进入了纽约州北部的一座水坝;利用恶意软件BlackEnergy使电厂停电、攻击了乌克兰的一个机场;通过操作德国钢铁厂的控制系统让其损失惨重;造成一座不知名的核电厂的“一些中断”。当然,我们更不可能忘记2010年Stuxnet事件(2010 年11月Stuxnet蠕虫攻击伊朗核电厂,锁定水库、油井、电厂等重要基础设施。当时Stuxnet让伊朗的核计划倒退了两年)。
工控领域的安全越来越受到关注:虽然上面这些措施不是万能的,但还是在一定程度上能帮到我们。技术在进步,什么都从不可能变成了可能,就算是现在ICS没有被攻击,以后呢,谁能保证?所以,防患于未然,做好预防措施比什么都要好。如果等到事情发生了,一切都已经太晚了。
本文转自d1net(转载)