OT网络深层攻防技术专题之六：OT网络中传感器攻击技术新进展

事件验证与影响评估显示，虽然Blackjack宣称攻击了87,000个传感器，但根据安全研究团队Team82的分析，实际被直接破坏的是约500-1,700个传感器网关设备。然而，这些网关作为传感器网络的中枢，其瘫痪导致连接的数万个传感器失去监控与控制能力。攻击者采用了前所未有的物理破坏手段，不仅通过软件方式擦除设备固件，更通过位翻转(bit flipping)等技术直接损坏NAND闪存芯片，使设备无法通过常规方式恢复，必须进行物理更换。

Fuxnet攻击揭示了工业传感器网络的系统性脆弱性：一方面，传感器设备普遍缺乏基本的安全防护机制；另一方面，攻击者已经发展出针对传感器硬件层的破坏能力。这一事件标志着OT网络安全威胁从传统的IT系统渗透、PLC控制逻辑篡改，进一步向物理传感器层延伸，形成了"从云端到传感器"的完整攻击链条。

传感器作为OT网络的"神经末梢"，其安全问题直接影响物理世界的安全。在工业环境中，温度、压力、流量等传感器的数据是过程控制系统(PCS)和安全仪表系统(SIS)做出决策的基础。一旦传感器数据被篡改或传感器功能被破坏，可能导致控制系统做出错误判断，轻则影响生产，重则引发安全事故。Fuxnet事件虽未造成公开报道的重大安全事故，但其展示的攻击能力已经为全球关键基础设施运营商敲响了警钟。

工业传感器网络安全问题具有其独特性，这些设备通常设计时以功能安全为先，网络安全考虑不足，且受限于计算资源难以部署传统IT安全防护措施。通过对行业现状的分析，可归纳出传感器网络安全面临的五大核心挑战。

传感器设备的软件供应链安全问题日益突出。许多传感器依赖设备类型管理器(DTM)或设备描述(DD)文件等第三方组件，这些组件常从互联网下载且缺乏完整性验证。LOGIIC研究发现，实际分发和安装DTM软件的方法为供应链攻击打开了大门，恶意组件可通过这一途径进入IMS/AMS平台。

硬件供应链同样存在隐患。Fuxnet事件中，攻击者显然对AO SBK和iRZ的俄罗斯产设备有深入了解，表明地缘政治因素可能加剧供应链风险。当设备厂商与攻击者处于不同国家阵营时，厂商可能无意或有意忽视安全漏洞，甚至留下后门。

5、全生命周期管理不足

工业传感器通常设计有长生命周期(10-15年)，远超过传统IT设备，这使得早期部署的设备难以应对新型威胁。同时，工业环境的认证复杂性导致补丁更新滞后，许多传感器设备从未进行过安全更新。

设备退役管理也不完善，敏感信息如默认凭证、网络配置等常残留在淘汰设备中。Blackjack组织可能通过分析废弃设备获取了Moscollector网络的关键信息，为其攻击提供了便利。

初始访问与横向移动方面，Fuxnet攻击展示了高度的战略耐心和技术成熟度。攻击者声称早在2023年6月就渗透进入Moscollector网络，潜伏长达8个月之久(根据元数据分析，至少从2023年10月起已驻留网络)。这种长期潜伏策略使攻击者能够充分了解目标网络架构，识别关键资产，并规划攻击路径。初始入侵向量尚未明确披露，但考虑到目标性质，很可能是通过暴露的3G路由器(iRZ RL22w)或鱼叉式钓鱼攻击实现。

获得立足点后，攻击者系统地进行了网络测绘与凭证窃取，逐步控制Moscollector的IT基础设施，包括VMware ESXi虚拟化平台、文件存储系统、Active Directory域控制器等。值得注意的是，攻击者特别关注了与传感器管理相关的系统，如SMSD(用于触发远程重启的服务)和传感器管理数据库(smvu/smvu2)，为后续OT网络攻击奠定基础。这种IT到OT的渐进式渗透反映了现代OT攻击的典型模式，即通过IT弱点达到OT破坏目的。

Fuxnet攻击在针对传感器网络的技术层面实现了多项突破，其创新性主要体现在三个方面：物理破坏机制、协议层攻击工具和自动化攻击框架。

物理破坏机制方面，Fuxnet超越了传统恶意软件仅破坏数据或软件的范畴，实现了对传感器网关硬件的物理性损坏。其"reaper"模块通过系统命令停止所有远程访问服务(SSH、HTTP、telnet等)，删除整个文件系统，并通过iptables规则阻断网络连接，使设备无法远程恢复。更为关键的是，Fuxnet包含专门的NAND存储破坏例程，通过持续对NAND闪存芯片执行位翻转操作，直至超过其最大写入周期，导致物理损坏。这种攻击不仅使设备无法运行，更大大增加了恢复成本——必须更换物理芯片而非简单重刷固件。

UBI(Unsorted Block Images)卷损毁技术同样具有破坏性。Fuxnet使用UBI_IOCVOLUP ioctl调用欺骗内核，声称将重写UBI卷并写入X字节，但实际上写入X-1字节的随机数据，导致设备无限期等待重写完成。同时，恶意软件用垃圾数据(0xFF)覆盖UBI卷，使文件系统彻底损坏。这种低层级闪存攻击在以往OT恶意软件中极为罕见，显示出攻击者对嵌入式系统深入的理解。

协议层攻击工具方面，Fuxnet集成了专门针对Meter-Bus(M-Bus)协议的模糊测试与泛洪工具。M-Bus是EN 13757标准定义的串行通信协议，广泛用于水表、气表等计量设备。Fuxnet的M-Bus攻击模块实现了两种攻击模式：结构化模糊测试和随机模糊测试。结构化模糊测试生成符合M-Bus协议框架但包含随机字段的数据包，增加被目标解析处理的可能性；随机模糊测试则生成完全随机的数据包，仅保证CRC校验正确以避免被简单丢弃。这种混合模糊测试策略既能触发协议栈深层次的漏洞，又能全面覆盖可能的输入空间。

攻击者还特别指出，他们禁用了smsd服务(用于远程重启传感器网关)，确保M-Bus泛洪会持续进行，直到有人物理关闭网关。这种持久性破坏机制极大增加了恢复难度，因为每个受影响站点都需要物理介入。

自动化攻击框架方面，Fuxnet展示了针对大规模传感器网络的高效攻击能力。攻击脚本接收包含所有目标传感器网关IP地址的列表，通过端口4321(SBKManager使用的专有协议端口)自动部署恶意软件。根据泄露的JSON文件，攻击针对2,659个传感器网关(包括424个MPSB网关和93个TMSB网关)，其中约1,700个被成功攻陷。这种大规模自动化攻击能力在OT环境中前所未见，标志着攻击者从"精确定点攻击"向"大面积覆盖攻击"的战术转变。

3、战术创新与影响

IT-OT杀伤链的协同：Fuxnet攻击完整展示了从IT渗透到OT破坏的全链条能力。攻击者首先完全控制Moscollector的IT基础设施，包括虚拟化平台、文件存储和员工凭证，然后转向OT网络，通过3G路由器(iRZ RL22w)横向移动到传感器网关。这种跨域攻击路径大大扩展了攻击面，使传统OT网络隔离策略失效。

硬件层持久化的破坏：与传统恶意软件不同，Fuxnet追求物理破坏而非隐蔽控制。通过NAND存储破坏和UBI卷损坏，确保设备无法通过常规手段恢复，必须物理更换。这种破坏性战术可能反映了地缘政治背景下网络攻击目标的转变——从情报收集和隐蔽控制转向公开破坏和心理威慑。

模糊测试的武器化应用：Fuxnet将模糊测试这一传统安全研究技术转化为攻击武器，对87,000个传感器实施大规模自动化模糊测试。这种协议逆向工程与利用能力显示攻击者具备深厚的OT协议专业知识，能够快速分析专有协议并开发针对性攻击工具。

从影响角度看，Fuxnet攻击虽然未造成公开报道的重大安全事故，但其技术影响深远。攻击验证了针对大规模传感器网络实施物理破坏的可行性，展示了从IT到OT的完整攻击路径，并为未来攻击提供了技术蓝图。

供应链安全管理必须纳入整体防御策略。设备采购时应评估供应商的网络安全实践，要求提供软件材料清单(SBOM)和安全开发生命周期(SDL)证据。所有第三方组件(如DTM)应从可信来源获取，并通过数字签名与哈希校验验证完整性。对于高安全场景，应考虑对关键设备进行独立安全评估。

增强安全意识与培训的针对性和常态化。应针对不同角色开展针对性培训：工程师需了解传感器安全配置；操作人员应识别社会工程攻击；管理人员要明白安全决策的影响。特别需要强化物理安全意识，防止攻击者通过接触设备获取敏感信息或直接接入网络。

事件响应计划应专门考虑传感器网络攻击场景。传统IT-centric的IR计划往往不适用OT环境。需要制定针对性的预案，明确当发现传感器被篡改或破坏时的应急步骤：如何隔离受影响设备、切换至备份传感器、评估过程安全影响等。应定期进行红蓝对抗演练，测试防御体系的有效性。

5、实战运营中持续改进提升