今日頭條
官方微信
官方抖音
資訊頻道在當今的互聯世界中,惡意攻擊者不會吝惜攻擊工業控制系統。看看過去兩年發生的事情你就會明白這一點。
攻擊者向中東的一系列工業控制機構發送了釣魚郵件、獲取了紐約北部水壩的非法訪問權限、利用BlackEnergy惡意軟件導致了斷電并攻擊了烏克蘭的一個機場、通過操縱一些控制系統,對德國的某鋼廠造成了“巨大”傷害、在某核電廠制造了“一些混亂”。另外還別忘了震網病毒在2010年做的事情。
所有的工業機構現在都面臨著數字化攻擊的新威脅。為了幫助抵御惡意攻擊者的威脅,許多企業現在設立了通知系統,讓終端用戶可以收到警報和關鍵信息。有些機構依賴于手機技術來運行他們的系統,但考慮到其他人可能處于遠端,通過運營商網絡發送的警報并非總是最可靠直接的通訊方式。
在這些情境下,企業經常會轉而使用尋呼機。這是一種能夠實現交換SMS信息和短電子郵件的技術。
但是仍有一個問題。尋呼機信息一般沒有加密,使得攻擊者能夠竊聽員工之間互相發送的尋呼信息。取決于尋呼信息的內容,攻擊者能夠使用被動式智能來了解某個工業機構并組織攻擊。
這有可能做到嗎?工業環境里使用的尋呼機信息內容一般是什么樣的?
為了找出答案,趨勢科技 (Trend Micro) 的研究人員花費20美元購買了一個適配器 (dongle) ,利用了他們的軟件定義無線電 (software-defined radio, SDR) 知識。他們之后可以分析數據,來確定工業控制系統環境中尋呼機傳輸的信息到底向外界泄露了什么。
截取尋呼信息
在2016年1月25日到2016年4月25期間,研究人員們獲取了5497,6553份尋呼信息記錄。大約其中三分之一1836,8210是既包含文字也包含數字的。
趨勢科技這樣解釋尋呼信息包含的信息類別:
“四個月的觀察中, 我們發現的信息包含有:聯系人、制造廠和電廠內部的位置、工業控制系統設置的閾值、疲于應對大量信息的現場工程師、可能的未上報的受限制事件、內聯網IP地址、內聯網主機名、SQL表名和查詢請求。”
比如,在其中一個核電站中,趨勢科技發現,大多數未加密信息都是人類寫成的,用來講述關于關鍵事件的信息,比如泵速下降、火災、未造成人員傷害的核污染。
同時,研究人員發現攻擊者能夠通過竊聽某變電站的尋呼信息來了解電力公司的設施。
可能的攻擊場景
在黑客獲取這些數據之后,就能利用它們實現一系列事情。
首先,如果這些尋呼包含個人信息,比如電子郵箱地址、項目代碼和雇員姓名,惡意攻擊者就能夠通過互聯網實現社會工程學攻擊,進一步直接連接到機構的網絡上。如果他們成功,就能夠進行工業間諜行為,甚至有可能破壞企業的關鍵系統。
其二, 攻擊者能夠使用泄露的信息來在恰當的時刻攻破工業機構。趨勢科技稱:
如果泄露信息遭到可能的濫用, 惡意攻擊者有可能攻破工業設施。要想滲透,他們可以監控建筑的氣溫設定、燈光設定和其它感應器,并在建筑中沒有人時改變這些設定。
其三,如果他們了解目標使用的尋呼格式,惡意攻擊者能夠將自己的尋呼信息注入某機構。趨勢科技的分析結果顯示,研究人員成功證明了他們能夠向任何尋呼機發送信息,只要他們擁有正確的信息和恰當的無線電、天線能量。
攻擊者能夠利用這種渠道實現一系列后續攻擊,包括竊取信息、社會工程、制造可能影響企業運轉的假警報場景。
保護尋呼信息
要想防止攻擊者濫用未加密的尋呼信息,趨勢科技建議工業機構采取以下措施:
加密尋呼消息,哪怕是使用一個簡單的預分享秘鑰;
驗證尋呼消息發送者的身份,防止攻擊者制造假通訊;
審計使用電子郵件-尋呼機途徑時可能泄露的信息;
這些措施將幫助確保尋呼信息作為工業控制環境下可靠通訊方式的地位。
注:信息來源于網絡
北京市公安局海淀分局備案號:11010802023656號