GhostSec(幽灵安全)黑客团队,在9月份刚刚入侵以色列55家Berghof PLC后,又对伊朗实施了网络攻击。

该组织在网络上发布了一些图片以证实他们成功劫持了系统,图片上显示了MOXA E2214控制器管理员网站成功登录的画面。

 

下图是黑客执行攻击时的屏幕截图,他们使用了metasploit中的admin/ scada/ multi_cip_command模块,该模块能够使攻击者利用EtherNet/IP协议向工业设备发送未认证的命令,以此来干扰设备的正常运行。

该模块使用了STOPCPU, CRASHCPU, CRASHE THER, 和 RESETETHER 指令,如下图代码所示:

更进一步调查发现,shodan.io网站上显示GhostSEC使用的ip地址直连到伊朗电信公司PJS,如下图所示:

为了更好了解这个模块的运行机制,研究团队用Delta DOP-107WV做了实验(Delta DOP-107WV HMI在水处理、集中供热、运输、制造等行业被广泛使用),实验中,当发送STOPCPU指令后,攻击者就掌握了设备的控制权。


研究人员Paul Smith称大多数像GhostSec一样仅利用metasploit工具成功实施攻击的黑客,他们的攻击方式都停留在问题的表面,在这种情况下直接的网络交互就能导致HMI完全停止运行。然而,这种情况还不是研究人员最担心的,如果GhostSec团队使用慢速战术(low and slow tactic,一种 DoS 或 DDoS 攻击,它依赖于以应用程序或服务器资源为目标的极慢流量的小流。与更传统的暴力攻击不同,low and slow tactic需要很少的带宽并且很难缓解,因为它们产生的流量很难与正常流量区分开来。)获得了软件的权限,利用程序深处的硬编码帐户的漏洞,在可能是关键系统的系统中植入后门,那将是一种更为危险的情况。

对此,各厂家应该确保OT设备没有直连到互联网上,特别是它们的操作服务,除此之外,应该时刻谨记最简单的安全操作,比如更换默认密码等。