以色列再生水库疑遭伊朗黑客攻击
编译:奇安信代码卫士团队
近期,某伊朗黑客组织发布了一则视频,展示了他们如何设法访问位于以色列某水库的一个工控系统 (ICS)。
工业网络安全公司 OTORIO 指出,12月1日,黑客访问了无需认证或其它任何保护措施的互联网的人机交互 (HMI) 系统,而目标显然是一个再生水库。
OTORIO 在博客文章中指出,“这使得攻击者能够轻易访问系统并能够修改系统中的任意值,使得他们能够篡改水压、更改温度等。而攻击者只需连接到万维网和 Web 浏览器即可。“
视频发布后的第二天,受陷系统的所有人做出了一些修改,以阻止 HMI 在未经认证的情况下遭登录。然而,研究人员注意到系统本身仍然暴露于互联网中,导致更具技能的攻击者访问。
研究人员指出,系统仍然允许在用于端口502的 Modbus 协议上的通信。Modbus/TCP 并不要求任何认证/加密。将该界面直接暴露到万维网是一种糟糕的实践。研究人员认为,该网站使用的 ICS 系统是由 Ovarro 制造的 “T-Box”。
研究人员指出,根据所研究的多起攻击活动所获得的经验来看,该再生水库遭攻击的主要原因是它提供了容易且不受保护的访问权限。此外,研究人员认为攻击者并不具备任何深入的工业能力或知识。该事件最初发布在基于伊朗黑客组织的 Telegram 频道 “未知部队 (Unidentified TEAM)”。该组织曾在一些小型的美国网站上发动攻击,其中是位于美国德克萨斯州的一家政府教育网站。攻击者声称目的是为伊朗核科学家 Mohsen Fakhrizadeh 复仇。该科学家在2020年11月末遭暗杀,而美国和伊朗官方均表示以色列是幕后黑手。
网络安全专业人员一直以来都在警告称,被暴露的 HMI 遭攻击后,会给能源和水行业的组织机构带来严重损害。研究人员指出,这次的攻击目标是相对较小的站带你,容量约为400万到600万立方米。
OTORIO 公司的研究人员无法确认攻击者可造成的损害类型,但表示“损害潜力非常高。“该公司的威胁情报研究员 Noam Even 表示,”通常具有其它可降低损害的安全机制(机械方面),但如果不具备,则后果可能是灾难性的。”
这并非伊朗黑客第一次被指攻击以色列水行业。今年至少出现了两轮攻击活动,主要针对的是更小型的本地设施。相关机构表示,虽然攻击并未造成任何损害,但攻击者显然了解如何攻击工业系统。
Even 表示,以色列的水和水处理设施一般而言是安全的,但像本月初,一些非公有设施的“监管非常松懈,可遭轻易攻击。“
速修复!开源 IT 基础设施管理解决方案 Salt 被曝多个严重漏洞
https://www.otorio.com/blog/what-we-ve-learned-from-the-december-1st-attack-on-an-israeli-water-reservoir/
https://www.securityweek.com/iranian-hackers-access-unprotected-ics-israeli-water-facility
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。