近兩年勒索軟體(Ransomware)成為所有人的夢魘。以往勒索軟體只會瞄準一般用戶,但近期勒索軟體已經將矛頭轉向大型企業、教育機構、醫院、飯店和其他企業。但2017/2在舊金山舉辦的RSA Conference上,美國喬治亞科技研究所(Georgia Institute of Technology, GIT)研究人員David Formby展示了勒索軟體如何拿下整個城市賴以運作的關鍵基礎設施架構,而引發恐慌。Formby設計了一個概念驗證的勒索軟體LogicLocker,在模擬環境中取得一座淨水廠的控制權,可於遠端癱瘓整座淨水廠,或是增加水中的氯含量來污染城市的水源。這個名為LogicLocker的勒索軟體,讓Formby得以修改可程式化邏輯控制器(Programmable Logic Controllers, PLCs),這是一種控制發電廠或淨水廠中的工控系統(Industrial Control System, ICS)及中央監控系統(Supervisory Control and Data Acquisition, SCADA)基礎設施架構的小型電腦。Formby展示該勒索軟體可讓攻擊者於遠端關閉閥門、或控制水中的氯含量,同時顯示假數據。
Formby模擬這場攻擊就是為了突顯攻擊者如何破壞攸關民生重大需求的關鍵基礎設施,像是自來水管理設施、發電廠、電梯控制系統、暖通空調(Heating, Ventilation and Air Conditioning, HVAC)系統及其他機械系統。GIT研究人員於實驗期間在網路上搜尋兩款作為攻擊目標的PLC,結果發現超過1,500台連網PLC曝險。LogicLocker能夠瞄準並感染這些連網PLC,變更這些小型電腦的密碼,使真正合法的使用者無法登入,然後攻擊者可藉由挾持關鍵設施設備向使用者獅子大開口。如果使用者乖乖付贖金就可以取得PLC的控制權。如果不肯付錢,駭客就可能讓淨水廠無法運作,或更可怕的,把對健康有害的氯釋放到水中以毒殺整座城市。
駭客瞄準工控系統和SCADA系統並不是新聞,網路罪犯或國家級駭客利用Stuxnet、Flame及Duqu等惡意程式進行相關攻擊已經很多年了,但勒索軟體很快就會讓這類網路攻擊和錢扯上關係。因此,網路罪犯為錢直接攻擊重要關鍵基礎設施架構已是在所難免。此外,國家級駭客也可利用勒索軟體癱瘓敵國。因此,現在所有工控系統及SCADA系統管理者應開始採用標準安全作業,如變更PLC預設密碼、將設備安裝於防火牆後,並設定正確以限制連網、定期掃瞄網路內的安全威脅並確實更新修補弱點,以及安裝入侵偵測系統等,才能將安全風險降至最低。
資料來源參考:
http://www.networkworld.com/article/3169568/security/researcher-develops-ransomware-attack-that-targets-water-supply.html
http://securityaffairs.co/wordpress/56266/hacking/plcs-ransomware-attack.html
http://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls
http://www.netmag.tw/2017/02/19/%e5%8b%92%e8%b4%96%e8%bb%9f%e9%ab%94%e5%8d%b1%e5%ae%b3%e5%86%8d%e5%8d%87%e7%b4%9a%ef%bc%81%e4%b8%8d%e4%bb%98%e9%8c%a2%e5%b0%b1%e5%9c%a8%e6%b0%b4%e6%ba%90%e4%b8%8b%e6%af%92%ef%bc%81
研究報告請參閱:
http://www.cap.gatech.edu/plcransomware.pdf
參考網站:
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15894
