简介
2021年2月8日,佛罗里达州皮内拉斯县的官员宣布未知实体进入的水处理操作奥德斯马市除了技术分析基于有限的细节,多家媒体对该事件进行了即时报道,但缺乏重要的额外细节。目前,虽然这一事件的一般性质已有所了解,但仍存在许多问题,特别是关于什么实体应对这一事件负责,以及他们试图修改水处理操作的确切意图是什么。
虽然有必要进行进一步调查,但现有的细节使我们能够对事件本身及其可能的影响得出一些初步结论。此外,基于我们对该事件和过去工业控制系统(ICS)入侵的了解,我们可以对该事件的成熟度进行理解。最后,Oldsmar事件提供了足够的信息来提供防御指导,以发现、减轻或防止将来发生类似的情况。
Oldsmar事件概述
2021年2月5日,为佛罗里达州奥德斯马尔小城市服务的市政水处理设施的操作人员注意到,用于监测和控制工厂运行的系统出现了奇怪的活动。初步报告来自路透表示该设施使用TeamViewer远程访问软件进行远程监控和管理,随后在后续报告和访谈中证实了这一点《连线》杂志.虽然工厂操作人员已经删除了该软件,但当时一个未知实体识别了TeamViewer实例,并设法向系统进行了身份验证。
识别暴露在互联网上的关键基础设施系统并不是一个新现象。正如金·泽特之前在几个文章从2010年代初开始,存在各种工具,使研究人员(或不那么严谨的实体)能够搜索和识别ICS设备或类似设备。在奥德斯马事件之前研究人员发现了几个例子在可能的恶意实体远程访问供水部门的控制系统设备中,以下是最有趣的:
- 2013:据估计与伊朗实体有关的入侵者,访问了鲍曼大道大坝的控制系统.虽然这是一个相对较小的结构,没有造成破坏性的后果,但分析人士推断入侵者可能是有意的目标而是俄勒冈州更大的亚瑟·r·鲍曼大坝。
- 2016:在其年度数据泄露报告中,威瑞森报告了几家自来水公司-合并为单一的假名组织“Kemuri Water”-经历过不同程度的破坏.在少数情况下,未知入侵者似乎随意地操纵了水处理控制,造成了操作中断,但没有造成伤害或破坏。
- 2018:使用的未知实体VPNFilter恶意软件,试图进行未指明的攻击乌克兰的氯气生产厂虽然此次事故并没有直接针对水处理业务,但如果目标地点发生中断,则会对该行业产生重大影响。
- 2020:不明实体,虽然暂时与伊朗利益相关,进入并对以色列的多个水泵和处理设备进行了微小的修改4月而且7月2020.根据对可用信息的分析,受影响的设备可以通过很少或根本没有身份验证来防止入侵者访问控制系统。虽然有一些猜测虽然这一事件可能与Oldsmar事件有关,但没有证据表明两者之间存在联系,所有的相似之处似乎都是间接的。
在上述所有情况下,外部访问控制系统对物理操作没有或非常有限的干扰。尽管就最终影响而言,Oldsmar事件大致也是如此,但未知入侵者在环境中的行动令人担忧。具体来说,该实体利用远程访问ICS设备来操纵处理厂的氢氧化钠水平。而正常的操作运行在百万分之百(PPM)氢氧化钠在处理环境中,未知入侵者试图将含量增加到11100 PPM。
当试图进行上述更改时,监控设备的人员,可能会人机界面(HMI)在植物环境中,注意到该动作并将其反转。官员们表示,如果不是在标准工作时间内发现了这一过程,该变化将需要24-36小时才能在该地区服务的下游人口中反映出来,而自动化测试和类似的安全措施将会检测到物理过程的变化。
根据所有现有的证据地方当局的声明通过操作员的注意和交互,防止了对ICS环境的入侵和操作,进一步的工程控制提供了额外的安全层。尽管该事件既没有造成重大的破坏,也没有造成直接的损害,但一些未知实体试图采取上述行动的简单事实令人深感担忧——这反映了对潜在伤害的麻木不麻木,或者是对试图改变可能在服务人群中产生的影响的无知。
流程可见性和入侵者成熟度
尽管令人深感担忧,但这种入侵(如果不是“攻击)的场景显示了多重不成熟。特别是:
- 事件发生在正常工作时间,工作人员在现场,可以迅速作出反应。
- 入侵者没有试图通过与HMI系统交互或覆盖HMI系统或欺骗传感器数据来隐藏或掩盖他们的活动。
- 氢氧化钠水平的改变是如此极端,几乎可以肯定会触发工程或其他非ics控制或环境中的警报。
这三个因素结合在一起表明,在访问控制HMI后,攻击要么不成熟、仓促,要么可能是无意的。为了更好地理解这些项目是如何发挥作用的,特别是考虑到潜在的针对完整性的ICS事件,快速回顾历史ICS事件是有帮助的。
Stuxnet事件
虽然资料很详尽,尤其是通过金·泽特的资料零日倒计时赛门铁克的Stuxnet档案在美国,Stuxnet的某些要素在一般讨论中经常被误解或忽视。在回顾其他来源深入来看,让Stuxnet成功的关键因素是恶意软件诱导将军的能力损失或否定观点受害环境的状况。在这种特定情况下,恶意软件记录了“正常”的工厂运行,然后在物理攻击序列期间将这些录音回放到监控系统,以掩盖工厂操作员的事件。如果没有这一关键步骤,操作人员将能够检测到工厂环境中的异常操作,从而进行干预和过程诊断。
2015乌克兰电力盛会
2015年,与俄罗斯军事情报机构(GRU)有关的实体侵入了乌克兰的多个配电中心。在一个同年12月下旬的联合行动,攻击者通过流氓控制设备和登录用户工作站断开设备,扰乱了配电操作,导致停电。
然而,为了取得成功,在攻击的最初阶段,必须将工作人员锁在他们的工作站之外,以防止操作人员干预。受害者环境中的后续活动导致使用雨刷恶意软件来移除远程操作控制,随后恶意固件更新到串行到以太网转换器,使设备无法通信。总的来说,这些步骤相当于一个协调的努力,以诱导损失或拒绝控制这种情况对乌克兰电力公司的运营造成了持续、广泛的影响。
2016年乌克兰industriyer /CRASHOVERRIDE事件
2016年12月,乌克兰再次发生了与俄罗斯情报机构有关的电力事故,这次针对的是一个输电变电站。简称为Industroyer或CRASHOVERRIDE事件发生时,事件再次抹杀了控制系统,诱发失控——但也可能是针对一个视障条件,以及使一个潜在的破坏性(如果失败)物理损坏场景.在这个特定的情况下,删除操作员逻辑控制(强制手动操作),并失去对系统运行状况和状态的逻辑视图,依次用于实现以进程保护为重点的攻击场景。如果没有这些条件,在不受保护的、不安全的状态(可能导致破坏)中恢复操作所需的一系列事件就不太可能实现。
2017 TRITON/TRISIS事件
2017年,沙特阿拉伯的一家石化厂由于工厂故障,经历了多次意外关闭安全仪表系统(SIS)由于当时未知的原因绊倒。随后的调查发现了一种特制的恶意软件变种,叫做海卫一或TRISIS他说:“我认为这是造成混乱的原因。进一步调查分析表明该恶意软件的目的不是直接攻击工厂安全设备,而是在不被发现的情况下任意修改SIS参数。结合对工厂环境其他地方的访问,攻击者可以删除或更改安全控制,从而引起物理损坏。然而,为了成功,攻击者不仅需要确保能够修改安全参数,还需要在操作人员不知情的情况下修改这些参数。
对Oldsmar的影响
总的来说,这四个引人注目的、技术上复杂的ICS攻击场景的例子强调了对手成功的一个关键障碍:能够逃避、影响或完全拒绝操作员对ICS环境的可见性和控制。在这四个例子中,攻击都需要某种机制来隐藏操作人员,或者拒绝他们纠正或减轻操作参数更改的能力。
在Oldsmar处理厂事件中,入侵者没有根据目前掌握的信息试图采取任何此类行动。如果未知实体欺骗或以其他方式干扰HMI显示参数或传感器数据,值班操作人员将不太可能注意到发生的事件,从而导致攻击转移到工程和工艺控制,以潜在的缓解或检测。入侵者不仅未能限制或操纵环境中的流程视图,而且他们在工作日的主要工作时间执行了事件,几乎确保了此类活动将被迅速注意到(并减轻)。
基于这些观察和过去的ICS事件,我们可以根据现有的证据做出合理的断言,这不是一次特别复杂或精明的“攻击”。正如多个来源所描述的那样,入侵者似乎只是利用了安全薄弱、可访问的远程访问机制来连接到工厂设备控制,然后故意或可能无意地操纵环境。这种企图的发生确实令人担忧,但从事件发生的时间和执行情况来看,压倒性的证据表明,这一事件产生重大损害或伤害的可能性很小。
防御对策与攻击面缩减
虽然这一特殊事件没有造成任何损害,甚至没有造成明显的运营中断,但奥德斯马尔水处理设施发生的事件凸显了与远程访问关键基础设施系统相关的真实风险和危险。虽然对这些问题的下意识回答是尽可能地删除或限制对这些系统的访问,但这在现代操作环境中是不现实的,也是不可行的。由于各种原因,从对地理位置遥远的控制系统的集中控制,到供应商的要求,再到用于遥测和维护目的的系统访问,再到COVID-19限制对人员的限制,远程访问不能简单地删除或关闭。然而,实现这种连接的方式可以确保以安全、可防御的方式完成此类操作。
首先,虽然无法获得有关系统的精确细节,但现有证据表明,如果无法通过工厂的TeamViewer实例直接访问控制氢氧化钠水平的HMI,则可以很容易地从初始接入点获得对此类系统的访问权。这种直接接触可能很方便,但不安全,也不受欢迎。相反,有一个专门建造的Bastion或“jumphost”可以为远程访问和监控提供单一的强化点。通过对bastion主机使用不同的凭据集进行内部网络和系统身份验证,可以进一步提高安全性,因为bastion的密码暴力强制或凭据捕获不会立即后续访问网络中的其他系统。
网络分割、访问控制和健全的网络工程可以协同工作,将整体攻击面减少到有限数量的可防御节点(如堡垒),同时还有助于对更小的设备集的活动进行监控。当应用更健壮的安全控制时,例如实现健壮的多因素身份验证(MFA)模式用于远程登录活动,暴露的攻击面可以进一步减少。
由于操作开销和类似的考虑因素,某些控制(如复杂密码或硬件令牌MFA)在某些ICS环境中可能不可取,但将此类防御措施和类似的控制应用于面向外部的网络接入点是至关重要的。大量用于远程访问服务的扫描和索引工具,再加上对手强力破解或潜在捕获用户凭证的能力,意味着必须加强这些可访问系统。
远程访问监控和指标丰富
一旦网络被适当地加固和分割,网络运营商和防御者就可以进行网络安全监控(NSM)和流量分析。在设计良好的环境中,只有少数外部通信或可访问的堡垒,NSM操作是简化和可管理的,允许潜在的强大的安全分析和响应。
通过适当的监控,防御者可以开始问一些问题,或制定相对于他们的网络姿态的狩猎假设。特别是,运营商可以利用近实时丰富的网络观测数据,如IP地址和域名,来构建交通流和通信的智能图像。
在最基本的层面上,这可能仅仅是IP地址的地理丰富,以识别奇怪或异常连接。这种方法当然会产生错误——例如伊利诺斯州水泵站一名正在度假的工作人员远程访问了一台设备,引发了俄罗斯关键基础设施被黑客入侵的呼声。通常,观察来自市政公用事业网络的非本地地址空间的远程身份验证尝试可以为后续调查提供一个良好的起点。
在更高级的用例中,使用第三方情报来源丰富外部基础设施可以支持对可疑或已知恶意活动进行复杂的、更高置信度的查询。例如,能够将连接尝试的源基础设施与TOR等匿名基础设施相关联,或识别来自互联网服务提供商(isp)或自治系统号码(asn)的连接,这些连接要么与已知的恶意活动高度相关,要么从未与任何已知的良好合法操作相关联。
正如DomainTools研究人员在之前的项目中所记录的那样,确定一般指标,特别是网络指标,作为复合对象产生了许多丰富和分析的可能性。在这种特殊情况下,防御者和网络运营商可以利用丰富的网络数据来识别可疑的远程访问活动或其他初始入侵迹象,潜在地使运营商能够在此类入侵进入关键基础设施环境的控制操作之前做出响应和缓解行动。从相反的角度来看,如前所述太阳爆发的背景战役中,近实时丰富的出站流量可以潜在地识别隐身,否则很难通过标记与指挥与控制(C2)活动相关的项目来检测入侵场景。
结论
奥德斯玛水处理厂的入侵引发了许多担忧:首先,这样的入侵甚至在一开始就发生了,这表明有关实体存在某种恶意或缺乏谨慎;其次,虽然这个特定的实例看起来相对简单和不成熟,但在此事件中使用的相同初始访问向量可能被更精通操作的实体利用,以产生破坏性或危险的影响。然而,尽管这一事件令人担忧,但网络运营商和捍卫者有许多可用的选择来反击此类事件。通过网络强化、攻击面减少、网络分割和NSM与指标丰富的组合,防御者可以显著降低此类事件的可能性,显著降低其有效性,或增加在相对早期阶段识别此类活动的可能性。
当然,对于许多较小的组织,例如市政水处理实体,由于预算或技术原因,上面提供的一些安全建议可能仍然无法实现。虽然“100%的解决方案”对这些实体可能不可行,但某些初步步骤,如攻击面分析和减少仍然是可以实现的。无论成熟度和能力如何,鉴于各种实体正在积极探索并试图与连接的关键基础设施系统交互,所有负责操作此类设备的组织必须在合理范围内采取所有可用步骤,尽可能地确保这些网络的安全。
总的来说,根据各种实体的记录,针对关键基础设施网络,特别是ICS网络的恶意活动似乎正在增加。通过主动防御加固和增强可见性或网络监控的结合,资产所有者、运营商和防御者可以更好地抵御此类入侵。如果现在不应用这些经验教训,就意味着不同复杂程度和能力的潜在对手将继续发现对未来入侵场景毫无准备的重要网络。