虽然美国相关部门没有在警告中提及黑客组织名称及使用的恶意软件,但Dragos将恶意软件跟踪为PIPEDREAM,Mandiant则将恶意软件跟踪为INCONTROLLER

PIPEDREAM是威胁组织CHERNOVITE开发的针对工业控制系统的恶意软件。PIPEDREAM是一个模块化的ICS攻击框架,攻击者可以利用它来根据目标和环境造成中断或破坏。

CHERNOVITE组织的PIPEDREAM恶意软件可以执行38%的已知ICS攻击技术和83%的已知ICS攻击战术。PIPEDREAM可以操纵各种工业控制PLC和工业软件,包括欧姆龙(Omron)和施耐德(Schneider)控制器,并且可以攻击无处不在的工业技术,包括CODESYS、Modbus和OPC UA。总之,PIPEDREAM可以影响全球相当大比例的工业资产。PIPEDREAM目前没有利用任何Schneider或Omron漏洞,而是利用本机功能。

图1 PIPEDREAM行为映射到MITRE ATT&CK for ICS

虽然CHERNOVITE专门针对施耐德电气和欧姆龙PLC,但也可能有针对其他供应商的其他模块,并且PIPEDREAM的功能可以在数百个不同的控制器上运行。因此,将重点放在设备供应商上是错误的,而应将重点放在攻击者正在利用的战术和技术上。

CHERNOVITE能够枚举工业环境、渗透工程工作站、利用过程控制器、跨越安全和流程区域、从根本上禁用控制器、并操纵执行的逻辑和编程。所有这些能力都可能导致工业环境失去安全性、可用性和控制力,从而大大增加恢复时间,同时可能使生命、生计和社区面临风险。

图2 CHERNOVITE模型图

一、INCONTROLLER/PIPEDREAM简介

工业自动化网络依赖于各种设备,使操作员能够将信息和指令转化为物理动作链。鉴于工业网络中资产的多样性,工业自动化设备通常在网络的不同部分使用不同的语言,这可以使用标准化的工业通信协议来实现。

INCONTROLLER由三个主要组件组成:TAGRUN、CODECALL和OMSHELL。TAGRUN是一种扫描OPC服务器、枚举OPC结构/标签、暴力破解凭据以及读取/写入OPC标签值的工具。CODECALL是使用最常见的工业协议之一Modbus和Codesys进行通信的框架。CODECALL包含与至少三个施耐德电气PLC交互、扫描和攻击的模块。OMSHELL是一个能够通过HTTP、Telnet和Omron FINS协议与某些类型的Omron PLC交互和扫描的框架。该工具还可以与欧姆龙的伺服驱动器交互,该驱动器使用反馈控制向电机提供能量,以实现精确的运动控制。

INCONTROLLER包括三个工具,使攻击者能够使用工业网络协议向ICS设备发送指令,例如OPC UA、Modbus、Codesys、和Omron FINS。虽然该工具的功能可以使参与者与来自不同原始设备制造商的各种产品进行通信,但参与者为施耐德电气和欧姆龙的特定控制器开发了模块。目标设备包括机器自动化解决方案,包括支持简单、重复的机器和分布式架构中的复杂模块化机器:

  • OPC服务器;
  • 施耐德电气Modicon M251、Modicon M258和Modicon M221 Nano PLC。其他使用Modbus和Codesys的设备也可能受到影响;
  • Omron NX1P2和NJ501 PLC和R88D-1SN10F-ECT伺服驱动器;NJ和NX PLC系列的其他设备也可能受到影响。

Mandiant高度怀疑攻击者会随机针对这些设备,更有可能是因为对特定目标环境的侦察。这与之前的ICS恶意软件TRITON一致,该恶意软件针对一个关键安全系统,几乎可以肯定地在破坏目标的工业环境之前被识别。

二、工具概述

图3 INCONTROLLER工具概览 

1、TAGRUN

TAGRUN的功能,例如扫描和枚举OPC UA服务器的能力,表明其具有侦察作用。OPC作为中央通信协议,用于从工业环境中的ICS资产中收集和存储数据。访问这些数据可以为攻击者提供生产系统和控制过程的详细概述。该工具可能是为侦察而开发的,但它也可以写入和更改标签值,这些值可用于修改数据以支持攻击或掩盖过程更改。TAGRUN还会验证目标环境是否运行Windows操作系统,并根据此检查的返回值提供不同的ping命令。这表明攻击者可以使用非Windows设备来执行TAGRUN。

TAGRUN的功能包括:扫描网络上的OPC UA服务器、读取OPC UA服务器的结构、读取/写入OPC UA服务器上数据的标签值、暴力破解凭据、和输出日志文件。

2、CODECALL

CODECALL使用Modbus协议与ICS设备进行通信,这可能使其能够与来自不同制造商的设备进行交互。但是,该工具包含一个特定模块,用于使用Codesys与施耐德电气的Modicon M251 PLC交互、扫描和攻击,该公司专有的EcoStruxure Machine Expert协议使用该模块。有理由相信,该工具还针对施耐德电气的Modicon M221 Nano PLC和Modicon M258 PLC,它可能会影响利用这些协议的其他设备。

CODECALL的一般功能包括:识别网络上的施耐德电气和支持Modbus的设备、通过Modbus或Codesys连接到特定设备、通过Modbus读取/写入设备寄存器、通过Modbus从会话请求设备ID、以及定义、转储或加载命令宏文件。

CODECALL还可以通过Codesys执行设备特定的命令,例如:尝试使用用户名/密码登录并使用提供的字典文件暴力破解凭据、下载/上传文件到PLC设备、检索文件/目录列表、删除文件、从PLC设备断开会话、尝试DDoS攻击、使用特制数据包破坏设备、如果设备网关IP存在于不同的接口上则添加路由、以及发送自定义原始数据包。

3、OMSHELL

OMSHELL旨在获得对Omron PLC的外壳访问权限,包括Omron NX1P2、NJ501、R88D-1SN10F-ECT伺服驱动器,以及可能来自NJ/NX产品线的其他类似设备。该工具主要使用HTTP协议运行,但也利用Omron专有的FINS over UDP协议进行扫描和设备识别。该框架是模块化的,这意味着攻击者可以开发附加功能并将其部署到该工具中。

OMSHELL的功能包括:扫描并识别网络上的欧姆龙设备擦除设备的程序内存并重置设备从设备加载备份配置和备份数据或将数据恢复到设备在设备上激活telnet守护进程通过telnet守护程序连接到设备,上传并可选地执行任意有效负载或命令连接到设备上的后门并提供任意命令执行执行网络流量捕获终止设备上运行的任意进程将文件传输到设备、以及与连接的伺服驱动器通信。

有理由相信,基于指标的检测无法有效检测受害环境中的INCONTROLLER,部分原因是攻击者几乎肯定会在特定受害环境中使用该工具之前对其进行修改或定制。相反,防御者应该将精力集中在这些工具的基于行为的狩猎和检测方法上。

4、可能支持Windows工具

Mandiant研究人员还跟踪了另外两个基于Windows系统的工具,可能与此威胁活动相关。通过在IT或OT环境中利用基于Windows的系统,这些工具有可能用于支持INCONTROLLER攻击中的整个攻击生命周期。

其中一个工具利用了AsrDrv103.sys驱动程序中的CVE-2020-15368,这将导致安装和利用易受攻击的驱动程序。ASRock主板可用于OT环境中的一些HMI和工程工作站。另外一个工具ICECORE是一个后门,提供侦察、指挥和控制功能。

三、攻击场景

每个工具都可以独立使用,或者攻击者可以使用这三个工具来攻击单个环境。INCONTROLLER所针对的设备通常集成在自动化机械中,并且即使用户不清楚,也可能出现在各种工业部门和过程中。

对此Mandiant开发了三种网络物理攻击场景,展示了使用INCONTROLLER进行攻击可能产生的一系列结果。在这三种情况下,TAGRUN都可以在早期阶段用于枚举受害环境、确定其目标,并了解物理过程。

图4 INCONTROLLER攻击场景 

这些场景的影响将取决于受害设施的性质,以及攻击者对受控物理过程的理解和交互的程度。Mandiant目前对INCONTROLLER的理解仍然有限,该软件利用了可支持开发者实现的新功能的可扩展结构。

四、国家支持的恶意软件

鉴于恶意软件的复杂性、构建该软件所需的专业知识和资源,以及它在出于经济动机的操作中的有限效用,Mandiant认为INCONTROLLER很可能与国家资助的组织有关。在目前的分析阶段,无法将INCONTROLLER与任何先前跟踪的组织联系起来,但该活动符合俄罗斯对ICS的历史兴趣。

至少自2014年以来,与俄罗斯有关的威胁行为者已经使用多个ICS定制的恶意软件系列攻击ICS资产和数据,例如PEACEPIPE、BlackEnergy2、INDUSTROYER、TRITON和VPNFILTER。图5 与俄罗斯有关的影响ICS的活动

 INCONTROLLER的功能与俄罗斯先前的网络物理攻击中使用的恶意软件一致。例如2015年和2016年乌克兰停电事件都涉及物理过程操作,以及针对嵌入式设备的破坏性攻击。INCONTROLLER同样允许恶意软件运营商操纵物理过程,同时还包含DoS功能,以破坏PLC的可用性。

五、缓解建议

INCONTROLLER对拥有兼容设备的组织构成重大风险。目标设备嵌入多种类型的机械中,并且可能出现在许多不同的工业部门中。鉴于与先前的与俄罗斯有关的威胁活动一致,因此Mandiant认为INCONTROLLER对乌克兰、北约成员国和其他积极响应俄乌冲突的国家构成最大威胁。相关组织应立即采取行动,确定目标ICS设备是否存在于其环境中,并采取供应商提供的对策。

由于PIPEDREAM的历史性和扩展性,缓解CHERNOVITE威胁将需要一个强有力的战略,而不仅仅是应用网络安全基础。Dragos建议采取防御性缓解措施:在MITRE ATT&CK for ICS矩阵中监控工业环境中的所有威胁行为,因为攻击者正在扩大其能力范围和规模;确保ICS可见性和威胁检测包括所有ICS通信,网络边缘和周边监控对于PIPEDREAM来说是不够的;保持对OT环境中所有资产的了解和控制,包括确保仅使用已知良好的固件和控制器配置文件;利用经过充分研究和演练的工业事件响应计划,其中包括攻击者试图破坏和干扰流程,以确保延长恢复时间。

美国能源部、CISA、国家安全局和FBI建议所有拥有ICS/SCADA设备的组织实施以下主动缓解措施:

  • 使用强大的边界控制将ICS/SCADA系统和网络与企业和互联网网络隔离,并限制任何进入或离开ICS/SCADA边界的通信;
  • 尽可能对所有对ICS网络和设备的远程访问实施多因素身份验证;
  • 制定网络事件响应计划,并定期与IT、网络安全和运营方面的利益相关者一起实施;
  • 将所有ICS/SCADA设备和系统的密码更改为设备唯一的强密码,尤其是所有默认密码,以减轻密码暴力攻击,并为防御者监控系统提供检测常见攻击的机会;
  • 维护已知良好的离线备份,以便在受到破坏性攻击时更快地恢复,并对固件和控制器配置文件进行哈希和完整性检查,以确保备份的有效性;
  • 将ICS/SCADA系统的网络连接限制为仅允许的管理和工程工作站;
  • 通过配置设备保护、凭证保护和HVCI来强有力地保护管理系统。在这些子网上安装EDR解决方案,并确保配置了强大的防病毒文件信誉设置;
  • 从ICS/SCADA系统和管理子网实施强大的日志收集和保留;
  • 利用持续的OT监控解决方案,对恶意指标和行为发出警报,监视内部系统和通信,以发现已知的敌对行为和横向移动;
  • 确保仅在运行需要时安装所有应用程序;
  • 执行最小特权原则,仅在需要执行任务时使用管理员账户,如安装软件更新;
  • 调查拒绝服务或连接中断的状态;
  • 监控系统是否加载不寻常的驱动程序,特别是系统上没有正常使用ASRock驱动程序。

施耐德建议客户立即实施以下具体措施保护设备:将EcoStruxure Machine Expert和EcoStruxure Machine Expert Basic更新到最新版本;在Machine Expert设备使用控制器助手或在EcoStruxure Machine Expert Basic使用控制器更新功能的调试选项卡来更新PLC固件;TM221在应用程序保护页面设置应用读写强密码;Machine Expert PLC将默认账户替换为自己的账户并设置强密码;禁用设备以太网页面中未使用的协议;检查设备上的应用程序是否未被修改。

参考资源:

【1】ttps://www.dragos.com/blog/industry-news/chernovite-pipedream-malware-targeting-industrial-control-systems/

【2】https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool

【3】https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2022-01

【4】https://www.cisa.gov/uscert/ncas/alerts/aa22-103a

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。