物联网安全事件频发，你怎么看？

Original 格物实验室绿盟科技研究通讯

随着物联网设备数量的日趋增长，物联网设备的漏洞也逐渐被暴露出来。一些活动在暗网中的不法分子，会寻找、利用或控制存在这些漏洞的物联网设备，进而发动恶意攻击。比如乌克兰电网中的SCADA系统被入侵后，攻击者对乌克兰电网发动了断网攻击，这种破坏行为无疑是影响人民生活、社会稳定甚至是国家安全的不安定因素。目前我们监测到的扫描、控制、攻击的行为，多为不法分子通过利用设备漏洞，进而在设备上运行恶意软件实现的。一些恶意软件，如Mirai、BrickerBot等，已被公开报道，为世人所知。

回顾2019年的重大物联网安全事件，攻击者恶意行为涉及感染物联网设备、肆意发动破坏攻击，国家颁布法令或者实施行动以缓解严峻的物联网安全形势等等。与去年相比，今年美国和日本均对物联网终端的安全性比较重视，且发布法令，日本实施了大范围的测试行动。可以感到，尽管物联网安全形势很严峻，但是已经有国家开始针对这种严峻形势展开“营救”。

笔者在接下来的内容中列出了15个安全事件，其中包含僵尸网络的攻击活动、对抗措施、企业损失等等。各位读者读完以后可以花费一分钟选出5个最具影响力的信息，如果您那边也了解到一些比较有影响力的物联网安全事件，欢迎交流。

委内瑞拉全国发生大规模停电事件

关键字：工控

类型：国家

子类型：委内瑞拉

链接：https://paper.seebug.org/912/

入选原因：

国家级全国性大规模停电，给国家财政、基础设施、人民生活均带来严重的影响。

描述：

在2019年3月7日，委内瑞拉全国发生大规模停电事件，影响23个州中的18个州，美国被指导演了这场针对委内瑞拉的“电力战争”，但目前并没有直接证据. 但美国国务卿迈克?蓬佩奧在3月7日晚上发布了一条推特：“No food. No medicine. Now, no power. Next, no Maduro.”，似乎印证了该指责。如果委停电事故的确有国家级网络攻击所致，那么该事件便是一起比以往任何工控攻击事件都严重的网络攻击事件，该次事件导致本已政局不稳的委内瑞拉更加动荡不安。

全球最大铝生产商遭LockerGoga勒索软件攻击

关键字：工控

类型：企业损失

子类型：勒索

链接：

https://paper.seebug.org/912/

https://threatpost.com/lockergoga-ransomware-norsk-hydro-wiper/143181/

https://www.autonews.com/suppliers/norsk-hydro-rebuilds-after-cyberattack

入选原因：

全球最大铝厂被攻击，自动化生产线被强迫改为手动，铝厂至少损失5200万美元。完全恢复将需要数月。

描述：

2019年3月18日，位于挪威全球最大铝生产商之一的海德鲁（Norsk Hydro）公司遭勒索软件攻击，攻击致使其位于欧洲和美国的部分自动化生产线被迫关闭，并以手工生产流程运营冶炼厂。如当前情况持续则可能导致延迟交货，甚至可能会影响铝价格。据挪威国家安全局（NSM）称，攻击者有可能使用了在今年1月首次被发现的LockerGoga勒索软件，它不是一种大范围传播的勒索软件，但在今年早些时候也曾被用于攻击法国工程咨询公司Altran Technologies，而海德鲁应该是该勒索软件近期唯一的受害者。

乌克兰核电站员工因偷核电进行数字货币挖矿被捕

关键字：乌克兰

类型：企业损失

子类型：内部员工偷窃

链接：

http://t.cn/Ai87LK4P

入选原因：

用核电非法挖矿，目前看是第一人。前期有白俄罗斯全国利用核电挖矿事件。

描述：

乌克兰国家安全局（SBU）于 7 月 10 日突袭乌克兰南部核电厂的行政大楼一间单独的办公室 104 室。没收了大量 Radeon RX 470 的 GPU 显卡、主机板、电源、延长线、USB U盘和大量硬盘，还有一个像模像样的冷却装置。更神奇的是，还搜出来一个带有该部队库存编号的系统组和路由器。如果号称国家最安全的地方，都能被人带着一大堆的加密货币挖矿设备随便进出，那弄个炸弹带进去，也不是什么难事？！

基于Mirai的僵尸网络发起大规模DDoS攻击

关键字：Mirai

类型：攻击活动

子类型：僵尸网络

链接：

http://t.cn/AijdgKZ1

入选原因：

13天内参与终端的数量达到40万个，规模极大。2016年的Mirai是60万设备。

描述：

一个未公开的流媒体站点受到来自402,000个不同的IoT（物联网）僵尸网络IP的大规模DDoS攻击，导致峰值流量为292,000 RPS（每秒请求）本次攻击针对的是应用层协议。DDoS攻击对于任何组织来说都是最危险的威胁之一，攻击者的目的是尽可能地耗尽网络服务提供地连接等资源。

安全研究人员首次发现WS-Discovery协议被用于DDoS反射攻击

关键字：物联网,设备

类型：攻击活动

子类型：DDoS

链接：

基于ONVIF协议的物联网设备参与DDoS反射攻击, https://www.freebuf.com/articles/system/196186.html

入选原因：

WSD的反射攻击首次出现。属于反射型DDoS的一类，其他如CoAP、Ubiquiti和此同类。

描述：

今年2月，百度的安全研究人员发布了一篇关于WS-Discovery反射攻击的文章，在该次攻击事件中，涉及反射源1665个。这是我们发现的关于WS-Discovery反射攻击的最早的新闻报道。ZDNet的文章中提到，今年5月也出现过利用WS-Discovery的反射攻击，到今年8月的时候，有多个组织开始采用这种攻击方式。Akamai 提到有游戏行业的客户受到峰值为35 Gbps的WS-Discovery反射攻击。

英特尔SGX可被滥用来隐藏高级恶意软件

关键字：英特尔

类型：终端

子类型：SGX

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83123&extra=page%3D11

入选原因：

新型处理器安全解决方案的安全性不仅受到威胁，甚至会使得恶意软件被安全组件保护，清除恶意软件变得像清除指纹、密钥这类安全数据一样难。

描述：

Intel® Software Guard Extensions (Intel® SGX)保护选定的代码和数据不被泄露和修改。开发者可以把应用程序划分到CPU强化的encalve（飞地）中或者内存中可执行的保护区域，即使在受攻击的平台中也能提高安全性。本次漏洞说明恶意软件也会利用SGX技术实现对其自身的保护，防护技术如果被恶意软件应用，清理起来也非常麻烦。

泄露代码暴露波音787系统中存在多个漏洞

关键字：无线,传感器,设备

类型：企业损失

子类型：信息泄露

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83464&extra=page%3D2

入选原因：

吃穿住行是生活中的高频活动，飞机的漏洞在出行时威胁乘客生命。

描述：

安全研究员在波音公司的网络上发现了一个完全没有保护的服务器，该服务器包含用于在该公司的巨型737和787客机上运行的代码。研究人员透露通过泄露的代码，发现了存在于波音787的机组人员信息服务（CIS）/维修系统(MS)中的多个内存损坏漏洞。攻击者可滥用这些漏洞，将恶意命令发送到控制飞机安全关键系统的更敏感组件，包括其引擎、制动器和传感器。波音787还配备了各种通信渠道，包括卫星设备和无线连接，攻击者可以通过互联网或其他网络链接入侵网络，为维护工程师提供有关系统功能的错误信息。

日本通过法律修正案允许政府人员入侵物联网设备，测查2亿台IOT设备

关键字：物联网,设备

类型：对抗技术

子类型：国家政策

链接：

http://t.cn/EcMg204

入选原因：

首次从国家层面针对物联网终端的安全性采取入侵后检测的方式。（可见终端安全形势紧）

描述：

物联网终端的安全形势非常严峻，日本政府已经开始针对物联网终端做全国范围的渗透测试，目标设备达到了2亿台，这是第一次通过国家政策，用攻击手段对物联网终端安全性进行安全性摸底的行动。这次行动以后，日本对物联网终端的治理将更有针对性。

黑客使用弱口令获得29个IoT僵尸网络访问权限

关键字：物联网,IoT,设备

类型：攻击活动

子类型：僵尸网络

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83228&extra=page%3D7

入选原因：

25000台终端的接管量，直接接管僵尸网络，这是直接攻击的僵尸网络，更加方便地获取攻击武器的便捷途径。

描述：

名为Subby的黑客利用暴力破解和弱口令获得了29个物联网僵尸网络的访问权限。黑客Subby表示，与IoT僵尸网络相关的一些C2使用了非常常见的凭据，例如root-root、admin-admin、oof-o0f、root-user2019等，其攻击的大多数物联网僵尸网络都是根据在线教程设置的。通过在线教程创建的僵尸网络一般使用默认凭据，即使更改也多数是弱口令，因此容易受到暴力破解。Subby称最初接管了40,000台设备，实际上约有25,000台。Sabby表示最初攻击了物联网僵尸网络是为了测试暴力破解C2管理面板构建的效率。

恶意软件Silex针对物联网设备进行破坏性攻击

关键字：物联网,电路,设备

类型：攻击活动

子类型：破坏终端

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83398&extra=page%3D5

入选原因：

14岁少年、纯粹的破坏型僵尸网络，数小时破坏2000台设备。有点像2017年的BrickerBot，当时破坏了1000万设备。

描述：

研究人员发现了一种新恶意软件Silex正积极破坏物联网设备。Silex于25日下午四点开始活动，大约四个小时之后，已经破坏近2千台设备。Silex从伊朗服务器进行攻击，目标是任何具有默认登录凭证的类Unix系统。研究人员表示Silex的工作原理是破坏物联网设备的存储，删除防火墙规则，删除网络配置，然后停止设备运行，在不破坏设备电路的情况尽可能达到的最大破坏程度。受害者必须手动重新安装设备的固件来恢复设备。研究人员表示幕后攻击者为一名14岁的青少年黑客。

存储设备制造商QNAP遭恶意软件攻击

关键字：乌克兰,设备

类型：企业损失

子类型：恶意软件攻击

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83133&extra=page%3D11

入选原因：

该公司的NAS曾被用于参与VPNFilter攻击乌克兰。

描述：

网络附件存储 (NAS)设备制造商QNAP发布安全公告，表示其NAS设备遭到恶意软件攻击，此次攻击被评级为高严重性，但未提供有关受影响产品的详细信息。根据客户反应设备出现的问题可以看出，受感染的设备会对IP地址0.0.0.0发出大量请求。QNAP表示目前正在分析恶意软件，并将尽快提供解决方案，并建议QNAP NAS客户手动将Malware Remover更新到最新版本，以清除感染。该公司的存储设备也是去年乌克兰关键基础设施组织遭遇VPNFilter攻击的目标之一。

AT&T内部人员非法解锁数百万手机,收受数十万美元的贿赂

关键字：手机

类型：企业损失

子类型：内部员工偷窃

链接：

http://t.cn/AiT2RyZX

入选原因：

内部员工连续5年收取贿赂，在内部网络上安装硬件设备，配合外部非法人员解锁200万台设备。

描述：

Fahd和他的合伙人Ghulam Jiwani（据美国司法部称已去世）总共向AT＆T员工支付了超过100万美元，并能够通过这种方式解锁超过200万部手机。Fahd于2018年2月4日在香港被捕，并于2019年8月2日被引渡到美国，他因涉嫌可能被判处20年监禁的罪行而面临指控。

超48.5万个Ubiquiti设备易被用于DDoS攻击

关键字：无线,设备

类型：攻击活动

子类型：DDoS反射

链接：

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83112&extra=page%3D12

入选原因：

能被利用的设备众多，截止到2019年2月4日，已被利用的有17,000多台。

描述：

安全人员发现了Ubiquiti设备正在被利用使用在10001端口上的UDP服务进行DDoS攻击，该问题自18年7月开始存在。攻击者正在向Ubiquiti设备上的10001端口发送56个字节的小数据包，这些数据包反映并将数据包中继到目标的IP地址，并扩展到206字节。研究人员表示通过这种攻击向量进行的DDoS攻击没有造成任何重大中断，但该端口也会影响其它无线网络设备。受影响Ubiquiti设备主要位于巴西、美国、西班牙等。目前相关安全公司已经发布关于该问题的解决方案。

仿冒的三星固件升级 APP 欺骗了超过一千万安卓用户

关键字：安卓

类型：攻击活动

子类型：安卓升级

链接：

http://t.cn/AiO7YtmP

入选原因：

千万用户量级的三星手机固件升级问题。

描述：

根据外媒报道，超过一千万用户被安装了一个名为“ 三星更新 ”的假三星应用程序，承诺固件更新，但实际上，将用户重定向到一个充满广告的网站并收取固件下载费用。该软件在Google应用上的安装量达到了1000万。

美众议院立法加强政府物联网设备安全性

关键字：物联网,设备

类型：对抗技术

子类型：国家政策

链接：https://www.secrss.com/articles/11384

入选原因：

首次针对物联网设备的安全性的立法行动。

描述：

美国众议员表示，该法案通过提高政府物联网设备供应商的标准，利用政府的购买力来推动物联网安全市场的发展。除此之外，该法案还要求国家标准和技术研究所为政府提供安全指导，管理和预算办公室加大财政投入，以帮助政府更好地应对物联网安全威胁。

投票时间：10月22日-10月26日 12：00

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营，绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码，即可关注我们

物联网安全事件频发，你怎么看？

发送到看一看