https://event.flydove.net/edm/web/infosecurity01/325454
https://event.flydove.net/edm/web/infosecurity01/325454

新聞

OT環境下的惡意程式:軟體開發與使用現況

2024 / 12 / 23
編輯部
OT環境下的惡意程式:軟體開發與使用現況
雖然專門針對工業控制系統(ICS)、物聯網(IoT)及 OT 控制設備的惡意程式相對罕見,但資安研究人員近期在 VirusTotal 上發現兩個值得關注的威脅樣本:
  • IOCONTROL 惡意程式:該程式具有跨平台特性,能在多家廠商的各類設備上運作。
  • Chaya_003 惡意程式:此程式專門針對執行西門子 TIA Portal 軟體的工程工作站展開攻擊。

IOCONTROL惡意程式

資安研究團隊分析了一個從 Gasboy 加油站管理系統擷取的惡意程式樣本。該系統據報遭到伊朗相關駭客組織 CyberAv3ngers 入侵,而這個駭客組織也被認定是去年秋季 Unitronics 攻擊事件的幕後黑手。

研究人員雖然尚未確定該惡意程式的部署方式,但已發現它具有遠端執行作業系統指令與自我刪除的能力。

IOCONTROL 已被植入 Gasboy 的 OrPT 支付終端機,攻擊者一旦取得支付終端的完整控制權,不僅可中斷加油服務,還能竊取顧客的信用卡資料。

此惡意程式能在各種Linux基礎的物聯網/OT 平台上運作,包括路由器、可程式邏輯控制器(PLC)、人機介面(HMI)及防火牆等設備。受影響的廠商涵蓋D-Link、海康威視、Orpak、Phoenix Contact、Unitronics 等公司。

Chaya_003惡意程式

研究人員在 VirusTotal 上搜尋兩類檔案:被一般惡意程式感染的工程軟體執行檔,以及可能會與工程軟體互動的惡意檔案。他們將搜尋範圍鎖定在幾款主要的工程軟體:Codesys (v2)、Rockwell Automation (RSLogix500)、Phoenix Contact (PC Worx)、Siemens (TIA portal)和Mitsubishi (GX Works),結果發現:
  • 兩組來自加拿大和美國的 Ramnit 惡意程式群組,專門針對三菱工程工作站進行感染
  • ​三個惡意程式,專門用於終止西門子 TIA Portal 及其他程序運作(包括瀏覽器、Office 應用程式等)
Ramnit 是一種木馬程式,具有竊取憑證和遠端桌面連線的功能,已知會透過包裝惡意程式碼的方式感染 OT 軟體的執行檔。

Chaya_003 樣本引起研究人員的興趣,主要因為它是專門針對 OT 環境所設計。研究人員發現這個惡意程式明確鎖定執行西門子工程軟體的機器。其證據在於開發者特別在終止程序清單中加入了西門子程序名稱 [Siemens.Automation.Portal.exe]—此類軟體僅存在於特定的工程環境中。

Chaya_003 使用 Discord webhooks 作為指揮控制(C2)通道,具備系統偵查與程序中斷功能。此惡意程式透過 Discord C2 傳送荷蘭文、英文及西班牙文訊息。從其中的字串可見,這個惡意程式很可能出自加泰隆尼亞地區的駭客組織之手,其程式碼則來自 StackOverflow 和 ChatGPT。

資安研究人員提出以下建議:強化工程工作站的安全性(包括更新軟體、停用不必要的連接埠和服務、修改預設憑證);透過網路區隔技術將 IT、IoT 和 OT 設備分開,防止工程工作站直接暴露在網路上;同時持續執行威脅監控。

本文轉載自 HelpNetSecurity。