真正的工业勒索来袭！ GhostSec 黑客组织首次声称拥有加密 RTU 设备

Anonymous 的 GhostSec 黑客组织声称它对 RTU（远程终端单元）进行了“有史以来第一次”勒索软件攻击，RTU 是通常部署在工业控制系统 (ICS) 环境中的小型设备。 Anonymous 附属公司表示，它在其最喜欢的行动“#OpRussia”中执行了 GhostSec 勒索软件，并解释说“只有他们才能支持#Ukraine”。

真正的RTU勒索来袭？

Anonymous Operations 在其 Twitter 提要中写道：“每个人都知道，自从我们开始入侵 ICS 以来，GhostSec 一直在‘提高标准’，现在是时候进一步推动黑客历史了！在黑客游戏中写下我们的名字黑客为什么不入侵比特币，开始新游戏。每个人显然听说过针对 Windows 台式机、某些服务器、某些物联网的勒索软件攻击，但我们要宣布第一个受到攻击的 RTU！”

该团队补充说：“是的！我们刚刚加密了历史上第一个 RTU！一个专为 ICS 环境设计的小型设备！我们知道，你知道，那个时间迟早会到来。好吧，就在这里！”

Anonymous 进一步补充说，“编码攻击 ICS 设备的勒索软件时代已经成为现实，我们是第一个像以前一样直接攻击俄罗斯火车的人！这种勒索软件并不打算非常复杂（这并不意味着我们不能” t 编写复杂的恶意软件）因为我们只是想加密它并向世界展示它。”

行业反应

在周四（1 月 12 日）的一篇博客文章中，来自工业网络安全公司 Claroty 的研究部门 Team82 的研究人员分析了黑客组织的声明，即 GhostSec 在公共电报群中声称它已经能够使用 SCADA 加密数据（监控和控制）工业 RTU 路由器，包括支持工业串行接口 RS-232 和 RS-485 以及 MODBUS 协议变体。

“GhostSec，被称为 Anonymous 的附属机构，从事出于政治动机的黑客攻击，包括本周声称它可以访问和窃取巴西政府的电子邮件。它之前也与对可编程逻辑控制器和其他 OT 设备的攻击有关。” 攻击破坏相关，”它补充说。

Claroty 的研究人员说，在所谓的袭击中，该组织显然将注意力转向了俄罗斯对乌克兰的入侵。 “根据该组织在 Telegram 上提供的屏幕截图，有问题的 TELEOFIS RTU968 v2 上的加密文件附加了后缀‘.f***Putin’，”它补充道。

TELEOFIS RTU968 V2 是一款新型 3G 路由器，支持商业和工业设施与互联网的有线和无线连接。 内置的 3G 调制解调器将在蜂窝运营商网络覆盖的任何地方提供高速无线互联网访问。 它可以被视为远程终端单元 (RTU)，因为它支持工业接口 RS-232 和 RS-485，并且能够将工业协议 Modbus RTU/ASCII 转换为 Modbus TCP。

Team82 透露，该组织在 Telegram 上声称被入侵的设备来自白俄罗斯，并没有索要赎金，而是留下了一条很长的信息，其中包括：“没有通知信”。 没有付款。

“通过公共互联网扫描，我们在俄罗斯、哈萨克斯坦和白俄罗斯发现了 194 台暴露在互联网上的设备，其中 117 台启用了 SSH 服务，”研究人员说。 “我们很想知道最初的攻击向量是什么，所以我们下载了固件并进行了研究。”

此外，“我们发现该设备运行在带有 ARM926EJ-S 处理器的 32 位 ARM 架构上，ARM926EJ-S 处理器是 ARM9 通用微处理器系列的一部分。它运行 OpenWrt 21.02.2 操作系统，一个 Linux 发行版。”

在检查设备的配置和 rc[dot]d 启动脚本后，Team82 研究人员表示他们“得出结论，该设备在端口 22（默认端口）上带有预配置的 SSH 服务，并允许使用 root 密码作为身份验证方法. 此外，该设备带有一个弱的预配置 root 密码，可以在两秒内用 hashcat 密码恢复工具破解。

Claroty 研究人员写道，黑客行动主义团体虽然主要出于政治动机，但在某些情况下已证明有能力扰乱企业和运营。 “GhostSec 最新的阻止活动再次表明这些团体对寻找 ICS 设备的兴趣，如果这些设备遭到破坏，可能会影响工业自动化环境中的生产力和安全性，”他们补充道。

另一家工业网络安全供应商 SynSaber 的 CTO Ron Fabela 在另一篇博文中写道，鉴于这些设备运行的是通用 Linux 内核，恰好提供与串行设备（当然可能是工业设备）的连接，” GhostSec 提要中几乎没有证据表明工业是专门针对的，或者此类攻击代表了工业黑客的新范式转变。”

Fabela 进一步扩展说，仅仅因为某些东西被标记为 RTU 并不意味着加密其文件是开创性的或创新的。 他还指出，破解和加密 Linux 设备并不是什么新鲜事。 此外，针对此类设备（为串行设备提供远程连接的通信网关）的攻击和黑客攻击也不是新鲜事。

“无论技术上是否真实黑客为什么不入侵比特币，GhostSec、Cl0p 团伙和其他人都在继续研究和发现 OT 攻击和 ICS 黑客攻击，”Fabela 在周三（11 日）的一篇帖子中写道。 “范式转变并不是有人可以攻击 Linux/OpenWRT 设备。相反，它是威胁组织如何采取传统企业攻击并将其应用于工业环境的关键。使用 shodan [点] 等工具在线查找这些确切的攻击io 设备也很简单，”他补充道。

Fabela 说，这个来自 GhostSec 的例子表明新的威胁组织缺乏对 ICS 的理解。 “这也让社区得以一窥该组织的意图，否则很难判断。在审查了所提供的证据之后，可能很容易驳回 GhostSec 的大胆主张。”

他进一步强调，事实仍然是 ICS 最终将成为目标，并且威胁行为者看到攻击（或声称攻击）ICS 的价值。

网络安全研究员 Joe Slowik 在周四（12 日）的一篇帖子中指出，影响工业运营和环境的勒索软件在很大程度上是“真实的东西”，正如多个来源所记录的那样。 “然而，此类操作的范围和性质几乎肯定会限于目前所观察到的情况：针对 IT 和基于 IT 的系统的操作具有无意的（有时非常有限的）工业影响，”他补充说。

“GhostSec 和 Red Balloon 概述的场景可能会继续作为黑客会议上概念验证和华丽演示的领域，”Slowik 说。 “但是，如果此类嵌入式设备勒索软件出现在工业环境中，尤其是关键基础设施网络中，我们应该立即质疑此类活动的性质和起源，因为此类事件的经济和声誉影响将使国家支持的实体受益，而不是更传统的犯罪货币化，”他补充道。

10 月，另一家工业网络安全公司 OTORIO 透露，GhostSec 黑客组织继续展示其 ICS 黑客技能，现在已将其支持转向伊朗最近的头巾抗议浪潮。

“该组织发布了几张图片作为成功‘入侵’系统的证据。这些图片显示了一个 SCADA 模块和一个 MOXA E2214 控制器在成功登录后使用 Metasploit 框架管理门户，”研究团队负责人 David Krivobokov奥托里奥当时透露。 “虽然尚不清楚‘受损’系统有多严重，但这再次证明了在安全控制不足的情况下攻击 ICS 系统的容易程度和潜在影响。”

本周早些时候，Red Balloon 研究人员在西门子 SIMATIC 和 SIPLUS S7-1500 系列 PLC（可编程逻辑控制器）中发现了多个架构漏洞，攻击者可以利用这些漏洞绕过所有受保护的启动功能，从而导致对操作代码的持续任意修改和数据。 S7-1500影响了大约120个西门子产品和解决方案，是西门子PLC产品中被认为具有全面安全保护的高性能控制器。

ICS 勒索是一个真实而紧迫的威胁

2020 年初，工业网络安全公司 Drgos 部门追踪到一款名为 EKANS 的勒索软件。 Dragos 在其分析中表示，EKANS 勒索软件于 2019 年 12 月中旬出现，具有强制停止许多进程的附加功能，包括与 ICS 操作相关的几个进程。 虽然目前所有迹象都表明控制系统网络上的攻击机制相对原始，但静态“杀戮列表”中列出的进程的特殊性表明，以前针对工业部门的勒索软件并不是很有目的性。 经过发现和调查，Dragos 确定了 EKANS 与 MEGACORTEX 勒索软件之间的关系，其中还包含一些 ICS 特定的特征。 其报告中描述的勒索软件针对的工业过程的识别是独一无二的，代表了第一个已知的特定于 ICS 的勒索软件变体。

不管 GhostSec 的 RTU“勒索软件”的技术优势如何，“真正的”工业勒索软件在 RTU 或 PLC 级别的要求和影响使得犯罪分子不太可​​能在此领域开展活动。 考虑到与此类操作相关的技术投资和政治风险，回报似乎太微不足道了。 相反，这些实体留在他们已经熟悉的地方更有意义，尤其是在经济上：影响 IT 和类似 IT 的系统以从组织获得付款，同时试图避免“最坏情况”的社会影响引起政府和执法部门的更多关注。

然而，与 GhostSec 正在尝试并由 Red Balloon 描述的功能类似的功能肯定会出现。 但是，这种行为并不代表犯罪活动的新趋势，而可能代表更阴险的东西：国家支持的恶意行为者使用类似勒索软件的操作作为破坏性网络攻击的遮羞布。 这种伪装成勒索软件的行为已经发生过多次，具有不同程度的影响、后果和误导。 然而，作为 Red Balloon 此处描述的“勒索软件”场景的一部分，操纵或禁用工业设备的案例可能是一种有趣的方式，可以为攻击实体希望混淆参与和归因的网络物理操作提供掩护。

总而言之，影响工业运营和环境的勒索软件是一个非常“真实”的东西，已被多方记录在案。 然而，此类操作的范围和性质几乎肯定会限于目前观察到的情况：针对 IT 和基于 IT 的系统的操作具有无意（有时非常有限）的工业影响。 GhostSec 和 Red Balloon 概述的场景很可能仍然是黑客会议上概念验证和华丽演示的领域。 但是，如果此类嵌入式设备勒索软件存在于工业环境（尤其是关键基础设施网络）中，则应谨慎看待此类活动的性质和起源并提出质疑，因为此类事件与国家支持的行为者更相关。

参考资源

1、

2、

3. %5BBlog%5D+Hacktivist+Group+Claims+Ability+to+Encrypt+an+RTU+Device&utm_content=Oktopost-linkedin&utm_source=linkedin&utm_tags=Blog%2CTEAM82%2Cresearch%2Crtu%2Cencryption