谛听 工控安全月报 | 9月

9月1日，意大利石油巨头埃尼（Eni）集团日前表示，其计算机网络近几天遭受黑客攻击，但目前来看影响似乎不大。据知情人士透露，埃尼集团似乎受到了勒索软件攻击。目前还不清楚此次事件是谁所为。考虑到欧洲各国的能源部门高度依赖于俄罗斯天然气及其他外部资源，黑客团伙也更倾向于朝这类目标下手。

参考链接：

https://www.bloomberg.com/news/articles/2022-08-29/italy-s-energy-agency-suffered-malware-attack-halted-it-systems?leadSource=uverify%20wall

9月2日，黑山共和国政府成员表示，该国正遭受复杂和持续的网络攻击，威胁到该国的基本基础设施。目标包括供电和供水系统、交通服务，公民使用各种国家服务的在线门户网站等等。一些发电厂已经转为手动操作，而国家管理的IT基础设施已经下线，以遏制攻击的影响。黑山财政部在8月31日宣布，一支由FBI网络专家组成的快速部署小组正前往该国，调查此次大规模协同攻击。该国国防部长将这些袭击归咎于俄罗斯黑客。近期，多个被俄罗斯视为敌人的东欧国家相继遭受网络攻击，并且形式多为拒绝服务（DoS）攻击。遭受攻击的国家包括摩尔多瓦、斯洛文尼亚、保加利亚及阿尔巴尼亚等。但此次针对黑山基础设施的攻击似乎更持久更广泛，目标涵盖供水系统、交通服务和线上政府服务等。

参考链接：

https://www.bleepingcomputer.com/news/security/montenegro-says-russian-cyberattacks-threaten-key-state-functions/

9月5日，俄罗斯军事杂志《祖国的阿森纳》（Arsenal Otechestva）的编辑阿列克谢·列昂诺夫（Alexei Leonov）在电视频道上提出俄罗斯已经“网络入侵”了HIMARS火箭发射器系统。乌克兰目前运营着16套HIMARS，由美国捐赠。列昂诺夫使用“黑客”一词意味着俄罗斯军队以某种方式渗透了HIMARS系统本身。这可能是指俄罗斯黑客入侵HIMARS通信系统、导航和瞄准系统或卡车的计算机系统。然而，这些都不太可能：乌克兰使用的美国制造的通信系统很难被发现。导航和瞄准计算机可能只接收数据，没有广播可检测的射频信号。俄罗斯军队入侵HIMARS的可能性约为零。

参考链接：

https://www.compsmag.com/news/russia-claims-it-has-hacked-the-himars-rocket-launchers-probably-a-big-fat-lie-which/

9月5日，国家计算机病毒应急处理中心发布了《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》。调查发现，美国国家安全局下属的“特定入侵行动办公室”（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”。联合技术团队经过复杂的技术分析与溯源，掌握了美国国家安全局下属的“特定入侵行动办公室”对中国信息网络实施网络攻击和数据窃密的相关证据。

9月27日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之二）》，进一步披露了“特定入侵行动办公室”攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息，公布了TAO网络攻击西北工业大学所使用的武器平台IP列表及所用跳板IP列表。技术团队发现，TAO经过长期的精心准备，使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器，进一步部署窃密类武器。并且通过掌握的中国基础设施运营商的防火墙等设备的账号口令，伪装“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

参考链接：

https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm

https://www.cverc.org.cn/head/zhaiyao/news20220927-NPU2.htm

9月7日，日本媒体报道，亲俄罗斯的黑客组织Kill Net于6日下午在社交媒体上宣布，对日本政府网站实施网络攻击，并称该组织“走在与日本军国主义对抗的道路上”。随后，由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。除了日本政府的网站，一些民间企业运营的网站也受到了攻击，包括日本信用卡发行商JCB的网站。自从2月俄乌冲突爆发后，Kill Net对多个与俄罗斯对立国家的网站实施网络攻击。根据日本网络专家的说法，Kill Net 6日宣布的对日本网站的网络攻击是该组织对日实施的首次攻击。9月7日晚，东京地铁公司和大阪地铁公司的网站也无法访问，最近的一次中断似乎是由另一次DDoS攻击引起的。

参考链接：

https://www3.nhk.or.jp/nhkworld/en/news/20220906_32/

9月8日，著名杀毒软件公司卡巴斯基发布了《2022年上半年工业自动化系统威胁格局》报告。统计数据来自受卡巴斯基产品保护的与ICS相关的Windows设备，包括HMI、SCADA系统、数据存储服务器、数据网关、工程工作站、用于管理工业网络的计算机、以及用于开发工业系统软件的设备。在2022年上半年，卡巴斯基产品在31.8%的设备上拦截了恶意软件，阻止了ICS系统中7219个恶意软件家族的102,000多个恶意软件变种。自2020年以来，在ICS计算机中的间谍软件包括勒索软件在稳步增长，用于隐蔽加密货币挖掘的恶意软件在ICS设备中的百分比也在增加。与此同时，ICS计算机中病毒和蠕虫的百分比稳步下降，有许多相对较旧的病毒和蠕虫仍在传播。楼宇自动化及石油天然气行业遭受恶意软件的百分比显著高于全球平均水平。工程、能源、制造业、及汽车制造业也略高于平均值。在2022年上半年，中国台湾地区遭受恶意攻击的ICS设备呈显著增长趋势，中国香港地区恶意攻击比例也在稳步上升，然而中国大陆恶意攻击比例逐渐下降。

参考链接：

https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/

9月12日，亲巴勒斯坦的黑客组织GhostSec声称他们破坏了多达55个Berghof可编程逻辑控制器（PLC），这些PLC被以色列组织用作“Free Palestine”（解放巴勒斯坦）运动的一部分。GhostSec（又名Ghost Security）于2015年首次被发现，自称治安组织，最初成立的目的是针对宣扬伊斯兰极端主义的ISIS网站。9月4日，GhostSec在其Telegram频道上分享了一段视频，展示了成功登录PLC管理面板的过程，此外还转储了被黑客入侵控制器的数据。同时，GhostSec发布了更多的截图，声称已经获得了另一个控制面板的权限，可以用来改变水中的氯含量和pH值。工业网络安全公司OTORIO对此事进行了更深入的调查后表示，发生此次入侵的原因可能是因为PLC可以通过互联网访问，而且使用的是可以轻易猜到的凭证。

参考链接：

https://thehackernews.com/2022/09/palestinian-hacktivist-group-ghostsec.html

9月13日，CISA的研究员Maxim Rupp发表了一篇关于Kingspan TMS300CS水箱管理系统由于缺乏充分实施的访问控制指南而受到重大漏洞影响的报告，该报告允许未经身份验证的黑客查看或修改产品的设置。该产品是由总部设在爱尔兰的Kingspan建筑材料公司的水和能源部门设计的，具有有线和无线多罐水平测量、警报，互联网或本地网络连接功能，在全球40多个国家/地区的组织都有使用。黑客只需要搜索特定的URL，就可以利用安全漏洞来改变各种设置，包括来自世界任何地方的传感器、坦克详细信息和警报阈值，只要他们能够访问设备的网页界面。目前该漏洞还未被修复。

参考链接：

https://www.cisa.gov/uscert/ics/advisories/icsa-22-256-04

9月14日，安全研究人员发现了新的针对亚洲政府、国有航空航天和国防企业、电信公司和IT组织的网络间谍活动。这一行动背后的黑客组织是一个早期与“ShadowPad”RAT（远程访问木马）相关联的集群。在最近的攻击中，黑客使用了更广泛的工具。根据赛门铁克的Threat Hunter团队的一份深入调查该活动的报告，情报收集攻击至少从2021年初就开始了，而且仍在继续。目前的行动似乎几乎完全集中在亚洲政府或公共实体，包括政府首脑/首相办公室，与金融有关的政府机构，国有航空航天和国防公司，国有电信公司，国有信息技术机构和国有媒体公司等。

参考链接：

https://www.cysecurity.news/2022/09/cyberspies-drop-new-infostealer-malware.html

9月15日，Hive勒索软件团伙声称对攻击贝尔加拿大子公司贝尔技术解决方案（BTS）的系统负责。BTS是一家拥有4,500多名员工的独立子公司，专门为安大略省和魁北克省的居民和小企业客户安装贝尔服务。Hive在其数据泄露博客的一个新条目中声称，这家加拿大电信公司在8月20日，对BTS的系统进行了加密。官方网站目前无法进入。贝尔公司意识到，运营公司和员工的信息已经被窃取，包括姓名、地址和电话号码等。但是公司保证，事故中没有任何数据库包含客户信息，如信用卡和借记卡号码、银行或其他金融数据，并且公司立即采取措施保护受影响的系统。

参考链接：

https://www.bleepingcomputer.com/news/security/hive-ransomware-claims-cyberattack-on-bell-canada-subsidiary/

9月15日，Necrum安全实验室的研究人员在LAN设备中发现了名为CVE-2022-36158和CVE-2-22-36159的两个关键漏洞。这两个主要漏洞是在由日本设备制造商Contec公司的生产的Flexlan系列产品FXA3000和FXA2000中发现的，这两个系列的无线LAN设备经常在飞机上使用。关于第一个漏洞，CVE编号为CVE-2022-36158，CVSS评分为8.0，第一个漏洞允许访问所有系统文件和telnet端口，后者允许访问整个设备。关于第二个漏洞，CVE-2022-36159，CVSS评分为8.8，与它使用硬编码，弱密钥和后门帐户有关。研究人员发现了一个带有默认硬编码口令的root用户帐户，该口令可能是为维护目的而设计的，攻击者可以使用此帐户来控制设备。FX3000系列的固件版本1.16.00和FX2000系列设备的固件版本1.39.00已经修复了这些漏洞。

参考链接：

https://www.cysecurity.news/2022/09/major-vulnerabilities-found-in-wireless.html

9月19日，据报道，黑客组织Sandworm伪装成电信供应商，用恶意软件攻击乌克兰实体。Sandworm是一个由俄罗斯支持的黑客组织，被美国政府认为是俄罗斯（GRU）外国军事情报机构的一部分。该黑客组织被认为是今年多起攻击事件的幕后黑手，包括对乌克兰能源基础设施的攻击，以及一个名为“Cyclops Blink”的持久僵尸网络的部署。从2022年8月开始，研究人员观察到Sandworm伪装成乌克兰电信服务提供商指挥和控制（C2）基础设施有所增加。最近的攻击目标是在乌克兰系统上部署商品恶意软件，比如Colimi Loader和Warzone RAT（远程访问木马）。

参考链接：

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-ukrainian-telcos-to-drop-malware/

9月21日，国际黑客组织Anonymous发起了一项针对该国网络基础设施的新行动。Anonymous戏称其为“OpIran”，黑客活动分子已经关闭了许多顶级政府网站，并入侵了该国不同地区的300多个安全摄像头。根据Anonymous的说法，OpIran的工作方式涉及DDoS攻击（分布式拒绝服务攻击），数据泄露，社会工程攻击以及逃避警察的逮捕。自推出OpIran以来，Anonymous对伊朗国家机构进行了一系列DDoS攻击，包括伊朗国家政府门户网站、伊朗中央银行官方网站等。9月21日，国际黑客组织Anonymous发起了一项针对该国网络基础设施的新行动。Anonymous戏称其为“OpIran”，黑客活动分子已经关闭了许多顶级政府网站，并入侵了该国不同地区的300多个安全摄像头。根据Anonymous的说法，OpIran的工作方式涉及DDoS攻击（分布式拒绝服务攻击），数据泄露，社会工程攻击以及逃避警察的逮捕。自推出OpIran以来，Anonymous对伊朗国家机构进行了一系列DDoS攻击，包括伊朗国家政府门户网站、伊朗中央银行官方网站等。

参考链接：

https://www.hackread.com/opiran-anonymous-iran-state-sites-cctv-camera-hack/

9月21日，美国网络安全和基础设施安全局（CISA）发布了一项工业控制系统（ICS）咨询警告，警告Dataprobe的iBoot-PDU配电单元产品中存在七个安全漏洞，这些产品主要用于工业环境和数据中心。工业网络安全公司Claroty表示，这些漏洞可能是通过与设备的直接网络连接或通过云远程触发的。该公司进一步披露，它发现了一种方法，通过利用有效cookie和设备ID（可以轻易猜到的顺序数值）的组合来枚举云连接的iBoot-PDU设备，从而将可用的攻击面扩大到所有连接的设备。建议数据探测器iBoot-PDU的用户升级到最新的固件版本（1.42.06162022），并禁用SNMP、Telnet和HTTP（如果未使用），以缓解其中一些漏洞。

参考链接：

https://thehackernews.com/2022/09/critical-remote-hack-flaws-found-in.html

9月22日，研究人员称为Metador的黑客组织已经侵入电信、互联网服务提供商（ISP）和大学大约两年了。Metador的目标是中东和非洲的组织，其目的似乎是长期坚持从事间谍活动。该组织使用了两个基于Windows的恶意软件，它们被描述为“极其复杂”，但也有迹象表明存在Linux恶意软件。网络安全企业SentinelLabs的研究人员在中东的一家电信公司发现了Metador，该公司已被来自中国和伊朗的大约10个黑客攻破。对恶意软件和基础设施的分析没有发现足够可信的线索来证明Metador的存在。

参考链接：

https://www.sentinelone.com/labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos-isps-and-universities/

9月23日，澳大利亚第二大电信公司、新加坡电信有限公司旗下的奥普图斯通信公司（Optus）表示，它将联系多达1000万名客户，他们的个人信息在一次黑客攻击中被窃取，不过该公司说，企业客户的信息没有外泄。该公司首席执行官凯莉·拜尔·罗斯马林说，她对这一行为感到愤怒和抱歉，这是澳大利亚遭遇的规模最大的网络安全事件之一，黑客获取了奥普图斯公司客户的家庭住址、驾驶执照和护照号码等信息。她表示，目前看来企业客户并未受到影响，而且没有迹象表明侵入者获取了客户的银行账户信息及密码。警方和网络安全部门仍在对这起网络攻击事件展开调查。

参考链接：

https://www.reuters.com/technology/australias-optus-hit-by-cyber-attack-2022-09-22/

蜜罐数据分析

俄罗斯、乌克兰联网工控设备分析

俄罗斯乌克兰紧张局势已持续大半年多，近期“入俄公投”结果公布后，双方在各领域的博弈愈发激烈，其中也包括网络空间战争。发动网络战能够削弱一个国家的通信能力与战场感知能力，而且随着军队依靠软件，利用获取的情报在战场上进行部署，这场竞赛变得越来越重要。为了能够了解俄罗斯和乌克兰的工控领域状况，团队进行了持续关注，并对两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。

从图4乌克兰各协议暴露数量对比图中可以看出，9月探测到的数量与8月份相比，AMQP协议具有较大幅度的增长，Moxa Nport协议小幅降低，其他协议数量保持持平。同时联网摄像头暴露数量也小幅波动，由2185升至2211。

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，相较于8月，9月当中大部分协议均有小幅波动，小部分协议保持持平。联网摄像头暴露数量由3051降至2984。后续团队将对相关信息持续关注。

微信号｜谛听ditecting