《网空闲话》:巴勒斯坦黑客声称破坏以色列水
【秦安点评】网络空间风乍起,于无声处听惊雷。网络安全既是国家安全问题,也是重大民生问题,秦安战略头条号推出《闲话网空》栏目,深度剖析网络空间蕴含的新质生产力、文化力、国防力,把新领域的热点、焦点、难点问题,与大家的生活、工作、学习联系起来,有助于做好网络安全知识普及和网络强国意识提升,让大家在网络空间新时代有更多获得感、幸福感、安全感(更多专业内容,欢迎关注闲话网空头条号)。
《闲话网空》第3期:巴勒斯坦黑客声称破坏以色列水利设施控制系统Claroty公司5月27日发布博文,声称耶路撒冷电子军的巴勒斯坦黑客发布了一系列社交媒体帖子,宣称破坏了与以色列水利基础设施有关的控制系统。而此前以色列媒体报道,4月份伊朗黑客攻击了以色列水务设施,试图用化学物质,也就是氯,来破坏以色列的水源供应。此事之后,媒体报道了伊朗港口被攻击的消息。迷雾袭来,谁真谁假?
在过去的十年中,作为数字化转型趋势的一部分,我们看到了与互联网相连的工业控制系统(ICS)设备的激增。但是,连接到Internet的ICS设备常常没有足够强的口令(如果有的话)或任何其他安全控制措施来保护,这使得它们对于低水平或技能的威胁行为体而言是轻而易举的事。
这些威胁行为体还可以使用多种合法的、可在互联网上扫描的公共服务(例如Shodan.io和Cenys.io),以帮助他们查找无意中暴露于互联网的基于Web的人机界面(HMI)和类似的ICS设备。如果目标设备受到口令保护,则威胁行为体可以尝试强行闯入。但是,在许多情况下,这些ICS设备完全不受口令保护,从而使对手获得立即不受限制的访问权限。
根据Purdue模型第2级(过程网络)上的HMI和其他ICS设备,到Internet(第5级)的任何直接连接都存在固有的问题,因为它为威胁行为者提供了访问第0级ICS物理过程的快速通道。与ICS设备的安全性相关的一个基本挑战是与某些设备建立安全的远程连接的价格和复杂性,尤其是那些无法遵循经典Purdue模型的偏远地区的设备。
Claroty研究人员发现了一个典型的例子,表明在过去的5月25日星期一,可公开访问的ICS设备如何给关键基础设施运营商带来麻烦,当时一群自称为耶路撒冷电子军的巴勒斯坦黑客发布了一系列社交媒体帖子,他们声称破坏了与以色列水利基础设施有关的控制系统。
图1:耶路撒冷电子军声称破坏了以色列供水的控制系统
小组成员声称,这次攻击是第二波针对以色列的针对性网络攻击的一部分。这些主张似乎由多个屏幕快照证实,这些屏幕快照显示了对基于Web的HMI的访问,以监视热水过程,包括与水压、温度和被监视设备的位置有关的信息(请参见下图2)。
图2:社交媒体分享了多个屏幕快照,这些屏幕快照似乎表明可以访问基于Web的HMI来监视热水过程
根据以色列CERT提供的信息,Claroty研究人员推测发布的屏幕快照中显示的ICS设备不受口令保护,因此允许攻击者组通过找到即可访问它。
对于能力有限的吸引眼球的对手,访问面向Internet的ICS设备可以轻松、非技术性地获得关注并达到目的,而无需进行实际的网络攻击。在最近的情况下,该组织可以使用ICS装置为以色列供水,从而仅允许他们监视过程,因此对运营没有影响。话虽如此,根据他们可以访问的设备的功能,对手有可能造成潜在的重大破坏和伤害。
耶路撒冷电子军最近对以色列的关键水基础设施表现出浓厚的兴趣,这不仅说明了面向互联网的HMI容易成为对手的攻击目标,还反映出人们对针对关键基础设施的攻击,尤其是针对民族国家的攻击,越来越感兴趣。直到最近,该组织的活动还仅限于对以色列政府网站进行破坏的微小企图。这些设备中的大多数不仅暴露于Internet,而且暴露于专用ICS协议,例如Modbus,EthernetIP等。这些协议对ICS流程具有更大的潜在影响,并且只需要少量的用户培训就可以利用。
将攻击目标转移至OT的原因,很可能是伊朗最近对以色列水厂进行网络攻击的尝试所激发的,这引起了媒体的极大关注,并重新引发了与两国间潜在网络战有关的紧张局势。尽管与连接Internet的ICS设备有关的安全性问题并不是什么新鲜事,但关键基础设施的网络攻击易于引起轰动效应,攻击者的这个意识在增强,这使得渴望产生冲击价值的威胁行为体把ICS作为目标,对其具有极大的吸引力。
博文发布时,与以色列供水相关的已暴露的ICS设备已从互联网上被删除,但仍有大量连接到互联网的ICS设备仍未受到保护。对此,Claroty强烈建议ICS运营商遵守有关以色列CERT针对关键基础设施威胁的建议。此外,OT安全团队应确保所有与互联网连接的设备均受到口令保护,并尽可能遵守ICS安全最佳实践,并使用VPN、加密和访问控制列表等机制实现安全访问。
【闲人闲语】现有信息表明4月份伊朗黑客攻击的供水设施与此次暴露在互联网上的供水设施中的ICS设备应该不是同一个目标。但悬疑的是为什么这么简单的容易发现的目标伊朗黑客当初没有发现?或者有可能伊朗黑客只干不说!隶属耶路撒冷电子军的巴勒斯坦黑客轻易找到并贴图为证,难道没有做更进一步的破坏?以色列媒体似乎也没有渲染这一次针对供水系统的疑似网络攻击?真相如何,试目以待。无论如何,需要关键信息基础设施运营者引以为戒的是,万不把ICS设备直接不加任何保护地暴露于互联网。