谛听 工控安全月报 | 11月

11月2日，美国财政部再次阻止了俄罗斯黑客组织Killnet的分布式拒绝服务(DDoS)攻击。俄罗斯黑客组织Killnet声称对2022年10月10日十几个美国机场的网站下线负责。但大规模DDoS攻击并未中断航空旅行或对机场造成任何运营损害。10月11日，俄罗斯黑客组织Killnet又声称他们在摩根大通释放了另一支机器人大军。据路透社称，Killnet的DDoS攻击对该机构的运营工作没有造成任何影响。同样在10月，Killnet声称对关闭科罗拉多州、肯塔基州、密西西比州和其他州的美国州政府网站负责。美国财政部报告表明，勒索软件继续对美国关键基础设施、企业和公众构成重大威胁，并且大量勒索软件攻击似乎与俄罗斯的来源有关。

参考链接：

https://www.theregister.com/2022/11/02/killnet_us_treasury_ddos/

11月2日，微步在线研究响应中心发布研究报告，对“海莲花”组织运营的物联网僵尸网络Torii进行了分析。“海莲花”，又名APT32和OceanLotus，是疑似越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。Torii木马最早由国外安全厂商Avast在2018年所披露，这表明Torii僵尸网络至少在2018年就开始部署，而后在2021年国内友商披露的RotaJakiro（双头龙）和Torii也存在相似的代码设计思路。攻击者利用1Day、NDay漏洞攻击国内外的IoT设备，且使用Torii长期控制，受害设备类型至少包括：三星、Vigor、Draytek路由器和物联网摄像头等。微步认为Torii僵尸网络是由“海莲花”组织所实际控制运营的，并且用于APT作战活动中。

参考链接：

https://app.ma.scrmtech.com/resources/ResourcePc/ResourcePcInfo?pf_uid=15831_1728&id=37424&source=1&pf_type=3&channel_id=28416&channel_name=%E5%BE%AE%E6%AD%A5%E5%AE%98%E7%BD%91-%E6%8A%A5%E5%91%8A%E9%A1%B5&tag_id=f73e5071434d81b6

11月3日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）的公告。第一个公告涉及ETIC电信，包括一个源于远程访问服务器（RAS）网络门户无法验证固件的真实性，从而为攻击者提供后门权限的漏洞（CVE-2022-3703，CVSS评分：9.0）。另外两个漏洞与RAS API中的目录遍历（CVE-2022-41607，CVSS评分：8.6）和文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被用来读取任意文件和上传恶意文件，从而破坏设备。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中修复了这些漏洞。第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个漏洞（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），三个漏洞在CVSS中评分都为8.4分。CISA指出，成功利用这些漏洞可能导致运行任意恶意程序，或运行修改过的诺基亚程序。诺基亚已经发布了影响ASIK 474021A.101和ASIK 474021A.102版本的漏洞的缓解说明。建议用户联系诺基亚以获得更多信息。第三个公告公布了台达工业自动化公司的DIALink产品的一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1），可被利用来在目标设备上植入恶意代码。该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。

参考链接：

https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/cisa-releases-three-industrial-control-systems-advisories

11月5日，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复，原因是铁路供应商遭受网络攻击后关闭了服务器。遭受攻击的是丹麦公司Supeo，该公司是专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息，关闭服务器后，该应用停止工作，司机们只能被迫停车，最终引发了列车运营中断。

参考链接：

https://www.securityweek.com/cyberattack-causes-trains-stop-denmark

11月10日，欧洲刑警组织宣布逮捕一名与针对全球关键基础设施组织和知名公司的LockBit勒索软件攻击有关的俄罗斯国民。2022年10月，法国国家宪兵队在欧洲刑警组织的欧洲网络犯罪中心(EC3)、美国联邦调查局（FBI）和加拿大皇家骑警(RCMP)的帮助下，在加拿大安大略省逮捕了该嫌疑人。该嫌疑人是一名33岁的俄罗斯国民，据怀疑他部署了LockBit勒索软件，对世界各地的关键基础设施和大型工业集团进行攻击。执法人员还从嫌疑人家中查获了8台电脑和32个外置硬盘、两把枪支和价值40万欧元的加密货币。

参考链接：

https://www.bleepingcomputer.com/news/security/russian-lockbit-ransomware-operator-arrested-in-canada/

11月15日，卡巴斯基研究人员Konstantin Zykov 和Jornt van der Wiel在一份报告中表示，黑客正在使用更新版本的DTrack后门攻击德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的行业。DTrack是一个模块化后门程序，具有记录键盘输入、捕捉屏幕、检索浏览器历史记录、查看运行进程、IP地址和网络连接信息等功能。除了间谍活动，它还可以运行命令来执行文件操作、获取其他有效负载、窃取文件和数据以及在受感染设备上执行程序。DTrack允许犯罪分子上传、下载、启动或删除受害主机上的文件。通过受害者研究发现恶意软件正在向欧洲和拉丁美洲扩张。恶意软件的目标行业是教育、化学制造、政府研究中心和政策机构、IT服务提供商、公用事业提供商和电信公司。

参考链接：

https://securelist.com/dtrack-targeting-europe-latin-america/107798/

11月15日，美国财政部外国资产控制办公室（OFAC）正在制裁参与生产或正在向俄罗斯转让伊朗无人机的公司，俄罗斯曾使用这些无人机对乌克兰民用基础设施进行毁灭性袭击。OFAC指定了沙赫德航空工业研究中心，因为该公司负责设计和生产俄罗斯军队在乌克兰使用的沙赫德系列无人机。OFAC还将目标对准了总部位于阿联酋的航空运输公司Success Aviation Services FZC和i Jet Global DMCC，他们也曾促进伊朗无人机向俄罗斯的转移。美国国务院同时根据行政命令（E.O.）制裁俄罗斯私营军事公司“瓦格纳”（PMC Wagner）和伊朗伊斯兰革命卫队航空航天部队（IRGC ASF）和圣城航空工业公司。

参考链接：

https://home.treasury.gov/news/press-releases/jy1104

11月17日，美国联邦调查局（FBI）表示，自2021年6月至2022年11月，Hive勒索软件团伙已成功向全球1300多家公司勒索约1亿美元。勒索软件遵循“勒索软件即服务”(RaaS)模型，开发人员在该模型中创建、维护和更新恶意软件，并由附属机构进行勒索软件攻击。受害者包括来自广泛行业和关键基础设施部门的组织，例如政府设施、通信和信息技术，重点是医疗保健和公共卫生(HPH)实体。

参考链接：

https://www.cisa.gov/uscert/ncas/alerts/aa22-321a

11月17日，美国密歇根大学和美国国家航空航天局的研究人员表示，美国航天网络的某个协议存在漏洞导致航天设备容易发生故障。该网络协议用于安全地共享航天器、飞机和关键基础设施软件中的关键消息。该协议被称为时间触发以太网（TTE），通过允许多个设备使用同一网络而不会相互影响，从而降低了关键基础设施设备实现网络的成本。带有恶意代码的单个设备可以破坏航天器、飞机和工业控制系统使用的网络协议，从而导致不可预测的操作和可能的故障。

参考链接：

https://www.darkreading.com/ics-ot/spacecraft-failure-vulnerability-thanks-to-networking-bug

11月22日，微软发布报告称，已有黑客利用停更的Boa Web Server软件漏洞攻击能源组织。微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。尽管Boa Web Server在2005年就已停止更新，但它仍被广泛应用，并由此掀起一轮新的危机。微软报告称，恶意黑客试图利用Boa Web Server的多个漏洞，包括一个任意文件访问漏洞（CVE-2017-9833）和一个高危级别的信息泄露漏洞（CVE-2021-33558），如果成功利用这些漏洞，黑客组织可能会读取任意文件、获取敏感信息并远程执行代码。微软表示，“在关键基础设施网络中，恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起，黑客方就能引发更大影响，甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软最初发现这个易受攻击的组件，就是在调查一起针对印度电网的入侵事件中。由于持续观察到针对Boa漏洞的攻击，微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

参考链接：

https://www.microsoft.com/en-us/security/blog/2022/11/22/vulnerable-sdk-components-lead-to-supply-chain-risks-in-iot-and-ot-environments

11月22日，工业网络安全公司Nozomi Networks的研究人员在底板管理控制器(BMC)固件中发现了十多个漏洞。BMC是一种专用处理器，允许管理员远程控制和监视设备，而无需访问操作系统或设备上运行的应用程序。BMC可用于重启设备、安装操作系统、更新固件、监控系统参数和分析日志。过去几年发现了许多BMC漏洞，研究人员警告说，利用这些漏洞可以让远程攻击者危害甚至损坏目标服务器。但是，许多研究都集中在IT服务器上。Nozomi Networks的研究针对的是用于运营技术（OT）和物联网设备的BMC。受影响的扩展卡上运行的固件是基于AMI的BMC远程管理固件，该固件被华硕、戴尔、惠普、联想、技嘉和Nvidia等科技巨头使用。这家网络安全公司表示，Lanner已经创建了补丁来解决这13个漏洞，但指出它在分析过程中也发现了其他漏洞，这些漏洞仍在修复过程中。

参考链接：

https://www.nozominetworks.com/blog/vulnerabilities-in-bmc-firmware-affect-ot-iot-device-security-part-1/

11月23日，欧洲议会的网站关闭了大约一个小时，亲俄黑客组织Killnet以分布式拒绝服务（DDoS）攻击了该网站。此次攻击发生在欧洲议会发表声明指定俄罗斯为支持恐怖主义的国家几个小时后。该声明认为，俄罗斯对乌克兰基础设施、学校和医院的袭击违反了国际法。最近几周，俄罗斯加大了对能源基础设施的炮击力度，迫使数百万乌克兰人进入冬季天气寒冷时断电。欧洲议会团队正在努力尽快解决这个问题。在Telegram群组中，亲俄黑客组织Killnet吹捧他们对该网站的攻击，并明确表示是由于恐怖主义声明而发起的。

参考链接：

https://therecord.media/european-parliament-faces-cyberattack-from-pro-russia-group-after-terrorism-declaration/

11月25日，斯洛伐克网络安全公司ESET表示，乌克兰遭受了新的勒索软件攻击，这些攻击归因于俄罗斯沙虫民族国家组织的入侵。斯洛伐克网络安全公司ESET将新型勒索软件称为RansomBoggs，该公司表示，针对多个乌克兰实体的攻击是在2022年11月21日首次发现的。根据乌克兰计算机应急响应小组（CERT-UA）的说法，名为POWERGAP的PowerShell脚本被用来部署名为CaddyWiper的数据擦除恶意软件，使用名为ArguePatch（又名AprilAxe）的加载程序。ESET对新勒索软件的分析表明，它会随机生成一个密钥，在CBC模式下使用AES-256加密文件，并附加“.chsch”文件扩展名。

参考链接：

https://thehackernews.com/2022/11/russia-based-ransomboggs-ransomware.html

11月29日，Vedere实验室披露了三个影响运营技术（OT）产品的漏洞，分别来自两家德国公司：工厂自动化制造商Festo和自动化软件公司CODESYS。网络安全公司Forescout的研究人员表示，其中的两个漏洞影响Festo自动化控制器，一个影响CODESYS软件，包括Festo在内的不同工业领域的数百家设备制造商都在使用该软件。这些漏洞影响供应链中的数百种工业设备。最严重的一种是拒绝服务，并且很容易执行，通过访问隐藏的网页或使用基于文本的浏览器工具即可。这三个漏洞是影响CODESYS V3的CVE-2022-4048（CVSS评分：7.7）以及影响Festo自动化控制器的CVE-2022-3079（CVSS评分：7.5）和CVE-2022-3270（CVSS评分：9.8）。Forescout研究人员表示，针对这些漏洞的保护需要修补运行易受攻击固件的设备，将它们替换为较新的设备或更改默认配置。研究人员还建议公司创建易受攻击的设备清单并实施分段控制，隔离无法立即修补的工具，监控网络中的异常流量。

参考链接：

https://www.forescout.com/blog/oticefall-continues-vedere-labs-discloses-three-new-vulnerabilities-affecting-ot-products-how-to-mitigate/

蜜罐数据分析

俄罗斯、乌克兰联网工控设备分析

俄罗斯乌克兰紧张局势已持续大半年多，近期进入到了最为关键的阶段，也是各方都想趁机争夺主动权的阶段。全球经济通货膨胀、英国经济下行，欧洲迫在眉睫的能源危机，全球气候变暖等系列问题都在困扰着全球。在越来越多的共同性问题爆发出来，并且给世界带来麻烦时，结束俄乌冲突从而以最快的速度平息冲突造成的影响，进而让各国腾出手来共同解决全球性难题，也成为了世界上绝大多数国家的共同愿望。为了能够了解俄罗斯和乌克兰的工控领域状况，团队进行了持续关注，并对两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。

从图4乌克兰各协议暴露数量对比图中可以看出，11月探测到的数量与10月份相比，各协议均有不同程度的波动。其中，AMQP协议具有明显的降幅。同时联网摄像头暴露数量也大幅降低，由2026降至1532。

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，相较于10月，11月当中大部分协议均有小幅的降低，小部分协议保持持平，CoDeSyS协议有所增加。联网摄像头暴露数量由2786降至2691。后续团队将对相关信息持续关注。

微信号｜谛听ditecting