查看原文
其他

一台智能咖啡机是如何让工厂控制系统遭遇勒索软件感染?

2017-08-01 E安全编辑部 E安全

关注E安全 关注网络安全一手资讯

E安全8月1日讯 如今物联网(IoT)设备越来越容易遭到入侵,例如物联网摄像头被入侵变肉鸡,最后成为物联网僵尸网络攻击的主要来源等等,我们更多关心的是物联网设备本身的安全。但谁会想到物联网设备将会对组织机构的系统构成重大威胁?

上个月,具有智能化控制系统的工业化学品石化工厂就因为一台联网咖啡机导致内网系统大面积瘫痪。

事件经过


事件发生在2017年6月。Reddit用户“C10H15N1”是一名化学工程师,他是某公司可编程逻辑控制器(PLC)专家,这家公司在欧洲拥有多个制造化学品的石化工厂。有一天,他接到一名工厂操作人员的电话,称本地控制系统遭遇攻击,所有计算机系统陷入瘫痪并显示错误信息。

然而,在远程分析问题后,C10H15N1也未发现除了监控系统崩溃(即使未连接到互联网)之外的任何问题。他当时怀疑发生了严重的情况,因为系统运行的是Windows XP。因为就在几个月前,数百万台运行Window XP的设备被WannaCry和Petya严重感染。

C10H15N1询问给他来电的这名操作人员,当时电脑屏幕上发生了什么情况,从这名操作人员的回答来看,像是遭遇了勒索软件攻击。

C10H15N1在Reddit上发文写到,他是监控系统的工作人员,他负责接电话,同事会持续监控情况。当他询问操作人员当时电脑屏幕上发生的情况后,他听起来像是遭遇了勒索软件攻击。但令他疑惑不解的是,电脑运行的监控软件并未连接到互联网。

虽然不清楚到底是哪款勒索软件入侵了该公司的系统,但从时间来看,更可能是WannaCry,因为WannaCry 2017年6月还感染了日本的本田汽车工厂和澳大利亚的交通摄像头。

操作系统更新升级的困难

C10H15N1透露,因当地政府实施的法律,他所在的公司不能升级操作系统,除了使用过时的Windows XP,别无选择。

他表示,当地政府不会再验证,公司也就无法更新这些设备上的监控软件。一旦更新设备,监控软件会因旧版操作系统中不存在的竞态条件(即因为不兼容的问题)而崩溃。

只有当工厂电脑系统瘫痪时,当地政府才会验证新版监控系统。一般只有在所有客户端都关闭的情况下工厂电脑系统才会瘫痪,而一般情况下,只有当所有工厂规划的大型维修时,所有客户端才会关闭,而这类大型维修通常每5年一次。

C10H15N1表示,正是由于这些规定才使得他们无法更新这些电脑,由于同样的原因,这些电脑也无法连接到互联网,也不具备可访问的USB端口,因为他们只在内部网络上运行。

为了解决问题,C10H15N1让操作人员拔掉为监控系统供电的电源插头,之后再插回电源,并按组合键从网络镜像开始重新安装。他认为一旦操作人员完成系统重装,噩梦就会结束,但始料未及的是噩梦才刚开始。之后,一个个目标系统开始被感染,并再次显示同样的错误信息。

问题的症结所在:咖啡机


操作人员询问C10H15N1他是否泡杯咖啡喝,但他走到咖啡机时,咖啡机也显示了同样的错误信息,只能两手空空。

之后,C10H15N1意识到问题所在,并做了解释:

咖啡机本应连接至独立的Wi-Fi网络,但咖啡机安装人员将咖啡机连接到了内部控制室的网络,之后,安装人员发现咖啡机无法联网又将其连接到了独立的Wi-Fi网络。操作人员只提到监控系统失灵,但并未提及咖啡机也显示了同样的错误信息。

第三方运维单位缺乏安全意识

结果水落石出,错误出在管理咖啡机的外部公司身上。从此事可以看出,设备安装哪怕出现一点小疏忽,而会铸成大错。设备安装人员应仔细查看设备连接的网络。

01
E安全推荐文章

官网:www.easyaq.com

2017年8月


01安卓勒索软件SLocker源码现身GitHub
02调查报告:ICS安全从业人员日益担心勒索软件攻击
03报告:勒索软件占比不足1%,Mac恶意软件数量增加370%
04“made in China”最强背锅 勒索软件FakeCry“各种冒牌”有何目的?
05欧洲第四次网络危机演习 勒索软件、无人机、社交平台加入“网络战”
06人工智能如何阻止勒索软件?
07新的勒索软件变种“Nyetya”危害全球系统

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存