在當(dāng)今的互聯(lián)世界中,惡意攻擊者不會(huì)吝惜攻擊工業(yè)控制系統(tǒng)??纯催^(guò)去兩年發(fā)生的事情你就會(huì)明白這一點(diǎn)。
攻擊者向中東的一系列工業(yè)控制機(jī)構(gòu)發(fā)送了釣魚(yú)郵件、獲取了紐約北部水壩的非法訪問(wèn)權(quán)限、利用BlackEnergy惡意軟件導(dǎo)致了斷電并攻擊了烏克蘭的一個(gè)機(jī)場(chǎng)、通過(guò)操縱一些控制系統(tǒng),對(duì)德國(guó)的某鋼廠造成了“巨大”傷害、在某核電廠制造了“一些混亂”。另外還別忘了震網(wǎng)病毒在2010年做的事情。
所有的工業(yè)機(jī)構(gòu)現(xiàn)在都面臨著數(shù)字化攻擊的新威脅。為了幫助抵御惡意攻擊者的威脅,許多企業(yè)現(xiàn)在設(shè)立了通知系統(tǒng),讓終端用戶可以收到警報(bào)和關(guān)鍵信息。有些機(jī)構(gòu)依賴于手機(jī)技術(shù)來(lái)運(yùn)行他們的系統(tǒng),但考慮到其他人可能處于遠(yuǎn)端,通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)發(fā)送的警報(bào)并非總是最可靠直接的通訊方式。
在這些情境下,企業(yè)經(jīng)常會(huì)轉(zhuǎn)而使用尋呼機(jī)。這是一種能夠?qū)崿F(xiàn)交換SMS信息和短電子郵件的技術(shù)。
但是仍有一個(gè)問(wèn)題。尋呼機(jī)信息一般沒(méi)有加密,使得攻擊者能夠竊聽(tīng)員工之間互相發(fā)送的尋呼信息。取決于尋呼信息的內(nèi)容,攻擊者能夠使用被動(dòng)式智能來(lái)了解某個(gè)工業(yè)機(jī)構(gòu)并組織攻擊。
這有可能做到嗎?工業(yè)環(huán)境里使用的尋呼機(jī)信息內(nèi)容一般是什么樣的?
為了找出答案,趨勢(shì)科技 (Trend Micro) 的研究人員花費(fèi)20美元購(gòu)買了一個(gè)適配器 (dongle) ,利用了他們的軟件定義無(wú)線電 (software-defined radio, SDR) 知識(shí)。他們之后可以分析數(shù)據(jù),來(lái)確定工業(yè)控制系統(tǒng)環(huán)境中尋呼機(jī)傳輸?shù)男畔⒌降紫蛲饨缧孤读耸裁础?/p>
截取尋呼信息
在2016年1月25日到2016年4月25期間,研究人員們獲取了5497,6553份尋呼信息記錄。大約其中三分之一1836,8210是既包含文字也包含數(shù)字的。
趨勢(shì)科技這樣解釋尋呼信息包含的信息類別:
“四個(gè)月的觀察中, 我們發(fā)現(xiàn)的信息包含有:聯(lián)系人、制造廠和電廠內(nèi)部的位置、工業(yè)控制系統(tǒng)設(shè)置的閾值、疲于應(yīng)對(duì)大量信息的現(xiàn)場(chǎng)工程師、可能的未上報(bào)的受限制事件、內(nèi)聯(lián)網(wǎng)IP地址、內(nèi)聯(lián)網(wǎng)主機(jī)名、SQL表名和查詢請(qǐng)求。”
比如,在其中一個(gè)核電站中,趨勢(shì)科技發(fā)現(xiàn),大多數(shù)未加密信息都是人類寫(xiě)成的,用來(lái)講述關(guān)于關(guān)鍵事件的信息,比如泵速下降、火災(zāi)、未造成人員傷害的核污染。
同時(shí),研究人員發(fā)現(xiàn)攻擊者能夠通過(guò)竊聽(tīng)某變電站的尋呼信息來(lái)了解電力公司的設(shè)施。
可能的攻擊場(chǎng)景
在黑客獲取這些數(shù)據(jù)之后,就能利用它們實(shí)現(xiàn)一系列事情。
首先,如果這些尋呼包含個(gè)人信息,比如電子郵箱地址、項(xiàng)目代碼和雇員姓名,惡意攻擊者就能夠通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)社會(huì)工程學(xué)攻擊,進(jìn)一步直接連接到機(jī)構(gòu)的網(wǎng)絡(luò)上。如果他們成功,就能夠進(jìn)行工業(yè)間諜行為,甚至有可能破壞企業(yè)的關(guān)鍵系統(tǒng)。
其二, 攻擊者能夠使用泄露的信息來(lái)在恰當(dāng)?shù)臅r(shí)刻攻破工業(yè)機(jī)構(gòu)。趨勢(shì)科技稱:
如果泄露信息遭到可能的濫用, 惡意攻擊者有可能攻破工業(yè)設(shè)施。要想滲透,他們可以監(jiān)控建筑的氣溫設(shè)定、燈光設(shè)定和其它感應(yīng)器,并在建筑中沒(méi)有人時(shí)改變這些設(shè)定。
其三,如果他們了解目標(biāo)使用的尋呼格式,惡意攻擊者能夠?qū)⒆约旱膶ず粜畔⒆⑷肽硻C(jī)構(gòu)。趨勢(shì)科技的分析結(jié)果顯示,研究人員成功證明了他們能夠向任何尋呼機(jī)發(fā)送信息,只要他們擁有正確的信息和恰當(dāng)?shù)臒o(wú)線電、天線能量。
攻擊者能夠利用這種渠道實(shí)現(xiàn)一系列后續(xù)攻擊,包括竊取信息、社會(huì)工程、制造可能影響企業(yè)運(yùn)轉(zhuǎn)的假警報(bào)場(chǎng)景。
保護(hù)尋呼信息
要想防止攻擊者濫用未加密的尋呼信息,趨勢(shì)科技建議工業(yè)機(jī)構(gòu)采取以下措施:
加密尋呼消息,哪怕是使用一個(gè)簡(jiǎn)單的預(yù)分享秘鑰
驗(yàn)證尋呼消息發(fā)送者的身份,防止攻擊者制造假通訊
審計(jì)使用電子郵件-尋呼機(jī)途徑時(shí)可能泄露的信息
這些措施將幫助確保尋呼信息作為工業(yè)控制環(huán)境下可靠通訊方式的地位。
趨勢(shì)科技相關(guān)報(bào)告地址: