如何关掉智能电表
由于乌克兰最近的冲突,潜在的网络攻击让很多人担心。因此,当网络安全公司FireEye的Mandiant团队演示如何渗透一家北美公用事业公司的网络时,我们或许应该回顾一下发生了什么。在这次演习中,曼迪昂特侵入了该公用事业公司的工业控制系统并关闭了其中一个智能电表。
需要注意的一点是,大多数大型工业企业都以某种方式将其工业网络与普通IT网络隔离开来。接受曼迪昂特压力测试的公用事业公司认为,它已经通过这种方式保护了自己的网络。这些措施减缓了Mandiant的发展,但并没有阻止其研究人员最终拥有这个工业网络。
在攻击的第一阶段,Mandiant团队采用了伊朗黑客在攻击沙特一家石化工厂时使用的技术,攻破了一个工业网络。曼迪昂特表示,通常的做法是首先侵入公司的IT网络,而不是工业网络,收集有关安全操作的信息。
Mandiant在演练中入侵网络的方式简单得令人尴尬:它在微软Office文档的电子邮件附件中嵌入了一个恶意文件的链接,该文档包含自动可执行宏代码。这使得白帽黑客可以在连接到网络IT端的单个用户工作站上执行代码。然后,他们使用一组公开可用的攻击性安全工具,使其代码看起来好像拥有域管理员的特权。
回顾一下他们使用的一些工具是很有趣的,所有这些工具都是公开的。一个名为ldapsearch的程序从LDAP服务器(通常存储用户名和密码)检索信息。另一个叫做powersplit,它是一组用PowerShell脚本语言编写的程序,用于管理IT资源。典型的powersplit任务包括列出已安装的安全包、模拟登录令牌以及在不触发可疑事件警告的情况下创建登录。
为了从最初被入侵的工作站到网络上安装的其他设备,Mandiant的黑客使用了一个名为WMImplant的程序,它也是用PowerShell编写的,可以访问远程服务器,并在上面运行程序或发出命令。然后,一个名为Mimikatz的程序为本地用户和域管理员帐户提取凭据。
一旦他们拥有了IT网络的自由运行,Mandiant的团队就确定了感兴趣的目标(人员、流程或技术),并寻找从IT到工业网络的途径。事实证明,有几种方法可以控制工业方面。也许最明显的是让人把恶意文件复制到u盘上,然后插入工业网络。Mandiant还发现,工业网络上的一些应用程序访问了被入侵IT端的数据和服务;类似地,受损害的IT端上的一些应用程序可以访问工业服务器。
也许最大的安全问题是,该工业实用工具使用了单一的集中式管理,处理IT和工业网络上的资源。该软件驻留在IT网络上。所以一旦曼迪昂特控制了IT网络,它就几乎拥有了所有东西的管理权限。这使得研究人员很容易窃取电表控制基础设施的登录凭证,并发出命令断开智能电表。
有点讽刺的是,想想2015年的一部名为《机器人先生》的热门电视剧,它描述了对气候控制系统的入侵。这部剧当时广受好评,因为专家称其黑客手法是真实的。黑客攻击的关键在于,通过连接到工业网络的流氓控制器发出虚假命令,该网络可以通过普通互联网连接访问。
如今,IT和工业网络、vpn和类似措施之间的复杂防火墙被认为可以阻止这种滑稽行为。但很明显,即使是那些本应了解更多的公司,也仍然容易受到世界上“机器人先生”的影响。
利兰•特施勒•执行编辑
了下:电子工程世界数字问题,数字问题
