全球工控系統面臨“木馬危機”

繼今年6月份Forescout在“冰瀑漏洞”工控安全報告中披露了10家OT供應商產品中的56個冰瀑漏洞後，工控安全態勢急劇惡化，一種偽裝成工控系統密碼找回工具的木馬軟體正在“熱銷”。

根據Dragos本週釋出的最新工控安全報告，偽裝成工控系統可程式設計邏輯控制器（PLC）、人機介面（HMI）和專案文件密碼破解器的惡意軟體生態系統的雛形已經浮出水面，駭客在網上兜售大量工控系統裝置的密碼破解軟體，宣稱可以幫助忘記密碼的工控系統工程人員找回系統裝置密碼，但這些軟體實際上是木馬軟體，被安裝後會載入殭屍病毒，將工控裝置變成殭屍網路的一部分。

許多企業都會發生丟失工控裝置密碼的情況。例如，用於工廠、發電廠和其他工業環境中的流程自動化的可程式設計邏輯控制器（PLC）可能會在部署幾年後就被“遺忘”了。當後來的工程師發現影響PLC的問題時，他們可能會發現最初負責的工程師在離開公司之前從未留下密碼。於是急於解決問題的工程師們很可能上網搜尋“密碼破解程式”，結果導致工控系統開始表現異常。

根據安全公司Dragos的報告，如今整個惡意軟體生態系統都試圖利用工業設施內的此類問題和場景（找回密碼）。例如下面這些宣稱可破解PLC和人機介面密碼的破解程式廣告，表明此類惡意軟體的銷售似乎非常火爆。

留神工控系統變成殭屍網路

Dragos最近進行了一次例行的漏洞評估，發現了一個宣稱能破解DirectLogic 06（Automation Direct生產銷售的PLC）密碼的軟體。經測試該軟體確實能恢復目標PLC的密碼，但不是透過破解密碼的正常方法。相反，該軟體利用了Automation Direct PLC中的一個零日漏洞，該漏洞暴露了密碼。

“以前針對DirectLogic PLC的研究已經取得了成功的破解技術，”Dragos研究員Sam Hanson寫道：“然而，Dragos發現這個漏洞並沒有破解歷史上流行的漏洞利用框架中所見的密碼的加擾版本。相反，惡意軟體釋放器會將特定的位元組序列傳送到COM埠。”

該漏洞以及Hanson發現的另一個相關漏洞現已修復並被跟蹤為CVE-2022-2033和CVE-2022-2004。後一個漏洞可以恢復密碼並將其傳送給遠端駭客，其嚴重等級也提升至7。5（滿分為10分）。

除了恢復密碼，Hanson發現該惡意軟體還會繼續安裝名為Sality的惡意軟體，將被感染的系統變成殭屍網路的一部分，Sality還會每半秒監視受感染工作站的剪貼簿，以獲取與加密貨幣錢包地址相關的任何資料。

“入侵者會用自己的錢包地址替換剪貼簿中的任何加密貨幣地址，”Hanson指出：“這種轉賬實時劫持是竊取加密貨幣的最有效的方法之一，並讓我們更加確信攻擊主要出於經濟動機。”

除了Automation Direct之外，Hanson還發現駭客正在網上銷售30多家其他品牌的工控系統軟體的密碼破解程式，包括：

Dragos僅測試了針對DirectLogic裝置的惡意軟體，但對其他一些樣本的初步分析表明它們也包含惡意軟體。

“總的來說，針對工控系統的惡意軟體似乎已經形成了一個生態系統，”Hanson說：“已經有多個網站和社交媒體帳戶都在宣稱（和兜售）自己是工控裝置密碼‘破解者’。”

這些不法帳戶所暴露的工控系統惡意軟體生態系統令人擔憂，因為這對許多工業控制系統都構成了實質性的威脅。雖然Dragos分析的惡意軟體背後的犯罪動機是為了錢財，但是工控惡意軟體生態的擴散意味著更多駭客將能夠破壞大壩、發電廠或類似設施，造成極為嚴重的後果。對於浮出水面的工控惡意軟體生態系統，關鍵基礎設施部門和企業尤其需要關注和警覺，制訂有針對性的主動安全策略。