2024年7月8日,俄羅斯網絡安(ān)全公(gōng)司Solar旗下的4RAYS網絡威脅研究中(zhōng)心發布研究報告,揭露了名(míng)為(wèi)"Lifting Zmiy"的親烏克蘭黑客組織對俄羅斯政府和私營公(gōng)司的一系列網絡攻擊。通過對2023年9月至2024年6月間4起典型案例的追蹤分(fēn)析,4RAYS網絡威脅研究中(zhōng)心判定該黑客組織入侵了俄羅斯工(gōng)業自動化企業Tekon-Avtomatika的PLC設備,并在其上部署了控制與通信(C2)服務(wù)器,這些控制器不僅用(yòng)于工(gōng)業自動化,還控制電(diàn)梯等關鍵設備。4RAYS的專家通過特定模式掃描互聯網,發現了被Lifting Zmiy黑客入侵的更多(duō)控制器。受害者來自IT、電(diàn)信和公(gōng)共部門等多(duō)個行業,Linux和Windows系統均未能(néng)幸免。4RAYS專家以很(hěn)高置信度認為(wèi)Lifting Zmiy源自東歐,目前仍然活躍。值得注意的是,攻擊者在行動中(zhōng)還使用(yòng)了SpaceX星鏈服務(wù)的基礎設施,這表明他(tā)們具(jù)有(yǒu)高度的技(jì )術能(néng)力和資源。4RAYS建議受影響的組織加強網絡安(ān)全措施,包括審查口令策略、引入雙因素認證,并定期進行IT基礎設施的安(ān)全評估,以防範此類攻擊。由于該黑客組織的初始突破與控制針對的是Tekon-Avtomatika的PLC設備,這事實上構成了由OT到IT的攻擊鏈,這種攻擊手法的成功應當引起工(gōng)業網絡安(ān)全行業的高度警惕。因為(wèi)傳統上大家都認為(wèi)OT網絡攻擊都是因IT系統暴露面和弱點而引發,而本次事件中(zhōng)攻擊者首先直接突破并控制了PLC并使其變為(wèi)C2服務(wù)器,進而開展更進一步的甚至其它目标的攻擊活動,在對抗性、隐蔽性、潛伏性方面均樹立了标杆,實屬罕見。
Lifting Zmiy攻擊俄羅斯事件概述
一、攻擊事件概述
Lifting Zmiy黑客組織自2023年10月以來對俄羅斯的政府機構和私營公(gōng)司發起了一系列網絡攻擊。該組織利用(yòng)開源工(gōng)具(jù),特别是對Linux系統有(yǒu)深入的了解和操作(zuò)能(néng)力,通過入侵Tekon-Avtomatika PLC設備,這些設備是SCADA系統的一部分(fēn),也用(yòng)于控制電(diàn)梯等設備,進而部署了控制服務(wù)器。Solar 4RAYS團隊在調查中(zhōng)發現,攻擊者使用(yòng)了開源反向SSH軟件,并在互聯網上發現了該組織使用(yòng)的一系列被黑客入侵的控制器。Lifting Zmiy的攻擊不限于特定行業,受害者包括IT、電(diàn)信和公(gōng)共部門的組織,Linux和Windows系統均受到波及。特别值得注意的是,攻擊者使用(yòng)了SpaceX的Starlink基礎設施來進行攻擊。4RAYS團隊通過對網絡指标的監控,發現了更多(duō)的惡意軟件樣本和攻擊者使用(yòng)Starlink基礎設施的痕迹。盡管Lifting Zmiy使用(yòng)了公(gōng)開可(kě)用(yòng)的工(gōng)具(jù),但他(tā)們對Linux操作(zuò)系統的高級知識使他(tā)們能(néng)夠有(yǒu)效地隐藏惡意軟件,并通過暴力破解口令的方式入侵基礎設施。從最初的入侵到積極行動,該組織表現出了耐心,有(yǒu)時這一過程會持續數月,暗示他(tā)們可(kě)能(néng)從第三方獲取了受損憑證。4RAYS團隊通過内部狩獵系統不斷發現Lifting Zmiy組織網絡攻擊基礎設施的新(xīn)元素,包括SpaceX公(gōng)司星鏈資源的使用(yòng)。
Lifting Zmiy網絡攻擊基礎設施中(zhōng)典型工(gōng)具(jù)、技(jì )術和對象
二、主要攻擊工(gōng)具(jù)
Lifting Zmiy組織在攻擊過程中(zhōng)使用(yòng)了多(duō)種工(gōng)具(jù),體(tǐ)現了技(jì )術多(duō)樣性和複雜性,這些工(gōng)具(jù)包括使用(yòng)開源工(gōng)具(jù)、定制惡意軟件、口令破解和各種系統後門。
1.Reverse SSH: 開源惡意軟件,用(yòng)于創建反向shell和命令服務(wù)器,是Lifting Zmiy的标志(zhì)之一。
2.SSH-IT: 軟件,用(yòng)于攔截SSH會話中(zhōng)用(yòng)戶輸入的命令。
3.mig-logcleaner: 開源工(gōng)具(jù),用(yòng)于清理(lǐ)Linux操作(zuò)系統日志(zhì)。4.ProxyLogon: 漏洞利用(yòng),用(yòng)于攻擊Exchange服務(wù)器。
5.Shadowpad: 惡意軟件,與Blackfly/Grayfly組織相關。
6.SSHD後門: 修改後的sshd文(wén)件和libprivatessh.so.5庫,用(yòng)于創建後門sshd服務(wù)。
7.gs-netcat: 實用(yòng)程序,用(yòng)于創建隧道并繞過防火牆限制。
8.ssh-snake: 蠕蟲工(gōng)具(jù),使用(yòng)受感染計算機的SSH密鑰進一步發展。9.kerbrute: 實用(yòng)程序,用(yòng)于搜索Active Directory中(zhōng)使用(yòng)Kerberos協議進行身份驗證的賬戶。
10.Responder: 實用(yòng)程序,用(yòng)于進行中(zhōng)間人攻擊,支持Windows中(zhōng)的多(duō)種身份驗證方法。
11.proxychains3: 軟件,用(yòng)于代理(lǐ)流量。
12.rackmapexec: 工(gōng)具(jù)集,用(yòng)于對Windows/AD基礎設施進行一系列攻擊。Empire-agent: Empire框架的代理(lǐ),為(wèi)後期利用(yòng)提供了一套廣泛的工(gōng)具(jù)。
三、主要攻擊對象
Lifting Zmiy黑客組織針對的主要攻擊對象是Tekon-Avtomatika公(gōng)司生産(chǎn)的KUN-IP8控制器(КУН-IP8),這些控制器被廣泛應用(yòng)于自動控制和調度系統,包括電(diàn)梯設計。研究發現,這些設備運行在Linux内核上的通用(yòng)固件,并具(jù)備編寫自定義LUA插件的能(néng)力,為(wèi)攻擊者提供了豐富的利用(yòng)機會。
КУН-IP8
安(ān)全專家Jose Bertin在2022年3月的研究表明,存在大量使用(yòng)默認管理(lǐ)員憑據的設備,這些憑據甚至曾被發布在Tekon-Avtomatika的官方網站上。盡管公(gōng)司随後删除了這些憑證,但許多(duō)設備在初始設置後并未更改默認憑據,留下了安(ān)全隐患。LUA插件能(néng)夠以root權限運行,這可(kě)能(néng)導緻具(jù)有(yǒu)超級用(yòng)戶權限的任意bash命令執行,構成嚴重的安(ān)全漏洞。Lifting Zmiy組織利用(yòng)了這些公(gōng)開的安(ān)全缺陷信息,通過系統漏洞在KUN-IP8控制器上部署了C2服務(wù)器,用(yòng)于進一步攻擊其主要目标。這些攻擊不僅展示了攻擊者對Linux系統的深入了解,還凸顯了設備管理(lǐ)員在數字衛生方面的責任,例如更改默認憑據,以提高安(ān)全性,防止未授權訪問。
四、Lifting Zmiy黑客攻擊的威脅是什麽?
Lifting Zmiy黑客并沒有(yǒu)對電(diàn)梯系統本身實施損害,而僅僅是藏身于其控制系統中(zhōng)。這不僅對OT網絡安(ān)全敲響了警鍾,而且警示網絡安(ān)全工(gōng)作(zuò)者,OT安(ān)全與IT安(ān)全的融合,哪一側都不能(néng)忽視,任何一側的暴露都可(kě)能(néng)對另一側的安(ān)危帶來巨大風險。
1、試圖感染控制器軟件
安(ān)全專家中(zhōng)心Positive Technologies網絡威脅研究部門負責人Denis Kuvshinov指出,該公(gōng)司還看到了該組織的活動,黑客想要危害SCADA系統軟件開發商(shāng),試圖感染該軟件并将其交付給客戶。幸運的是,攻擊者的嘗試失敗了——制造商(shāng)及時發現了問題。
2、多(duō)種手段增強攻擊活動的隐蔽性
攻擊者使用(yòng)反向SSH工(gōng)具(jù)作(zuò)為(wèi)其标志(zhì)性的惡意軟件,創建反向shell連接,實現對受感染系統的隐蔽遠(yuǎn)程控制。這種工(gōng)具(jù)使得攻擊者能(néng)夠在不引起注意的情況下長(cháng)期潛伏在受害者的網絡中(zhōng),同時在攻擊過程中(zhōng),一旦建立了控制,攻擊者會移除shell,增加了檢測的難度。Lifting Zmiy通過侵入合法系統,如Tekon-Avtomatika的SCADA控制器,來隐藏自己的行動。這些控制器是設計用(yòng)于電(diàn)梯等自動化過程控制系統的,攻擊者利用(yòng)這些系統的合法性和複雜性作(zuò)為(wèi)掩護,使得其惡意活動更難以被追蹤和識别。使用(yòng)星鏈(Starlink)基礎設施:攻擊者利用(yòng)SpaceX的Starlink衛星互聯網服務(wù)的IP地址進行攻擊,這種使用(yòng)主流且廣泛分(fēn)布的衛星網絡服務(wù)的做法,為(wèi)攻擊者提供了額外的匿名(míng)性和隐蔽性。
3、為(wèi)電(diàn)梯控制系統的安(ān)全敲響了警鍾
盡管Lifting Zmiy黑客組織的主要攻擊目标不是電(diàn)梯本身,但這一事件暴露了電(diàn)梯控制系統的潛在安(ān)全風險。Innostage SOC CyberART的網絡威脅中(zhōng)心負責人馬克西姆·阿基莫夫強調,電(diàn)梯控制系統由于連接到互聯網或其他(tā)數據網絡,可(kě)能(néng)因軟件和電(diàn)子組件的漏洞而容易受到黑客攻擊。這種風險不僅局限于新(xīn)型電(diàn)梯,因為(wèi)即使是舊電(diàn)梯,也可(kě)能(néng)通過安(ān)裝(zhuāng)額外的控制器來實現遠(yuǎn)程控制,從而增加了數字風險。Stingray Technologies的總經理(lǐ)尤裏·沙巴林提醒,不必要的互聯網連接為(wèi)攻擊者提供了攻擊媒介,強調了限制設備聯網的重要性。因此,加強電(diàn)梯系統的網絡安(ān)全監控、定期軟件更新(xīn)和對承包商(shāng)的審查變得至關重要,以确保電(diàn)梯運行的安(ān)全性和可(kě)靠性。
五、Lifting Zmiy黑客的攻擊手法有(yǒu)何不同?
Lifting Zmiy黑客颠覆了業界對傳統OT網絡攻擊的典型手法,其“項莊舞劍、意在沛公(gōng)”的戰術得益于其技(jì )術、資源、能(néng)力的融合,從突破并控制PLC開始,拓展其攻擊其它IT目标的意圖。
1、暴力破解與購(gòu)買結合,獲取初始訪問權限
在Solar公(gōng)司調查的案例中(zhōng),基礎設施隻是通過暴力破解口令而被黑客入侵。但很(hěn)難說Lifting Zmiy是獨立積累了對各個組織的訪問權限,還是從通過出售受損憑證進行交易的攻擊者那裏購(gòu)買了這些訪問權限。但在所有(yǒu)情況下,從最初妥協的那一刻到開始的主動攻擊行動都經過了很(hěn)多(duō)時間(有(yǒu)時是幾個月)。這可(kě)能(néng)表明該組織仍然從第三方獲得了一些訪問憑證。
2、變PLC為(wèi)C2服務(wù)器,規避檢測長(cháng)期潛伏
Tekon-Avtomatika PLC設備運行Linux系統,具(jù)有(yǒu)一個模塊,允許加載和執行自定義的LUA腳本插件。這種設計提供了極大的靈活性,但也帶來了安(ān)全風險。由于LUA插件能(néng)夠以root權限運行,它們能(néng)夠執行任何bash命令,這為(wèi)攻擊者将PLC變身C2創造了條件。研究人員分(fēn)析發現反向SSH樣本後,他(tā)們提取了相應的C2地址,該地址指向受感染的Tekon-Avtomatika PLC。使用(yòng)發現的模式,研究者又(yòu)在受感染的設備上發現了更多(duō)命令和控制服務(wù)器。此外,通過被動掃描,還發現了一個與反向SSH管理(lǐ)服務(wù)器配置類似的基礎設施。經驗證,它們不再放置在Tekon-Automation設備上 。研究者總共發現了23個C2服務(wù)器,其中(zhōng)16個是Tekon-Avtomatika PLC。截至2024年6月,23個C2中(zhōng)仍有(yǒu)14個處于活躍狀态,這些活躍的C2中(zhōng)有(yǒu)8台部署在受感染的PLC上。
3、攻擊基礎設施使用(yòng)了SpaceX的衛星互聯網資源
研究人員檢測到的IP地址的Whois記錄顯示,這些IP屬于提供商(shāng)Starlink Services, LLC,該公(gōng)司是SpaceX的一個部門,在全球範圍内提供寬帶衛星互聯網服務(wù)。Lifting Zmiy黑客組織通過利用(yòng)SpaceX的Starlink基礎設施,實現了在全球範圍内的匿名(míng)和靈活攻擊,受益于其動态IP地址和高速連接,同時規避了傳統網絡安(ān)全措施基于IP地址所歸屬的物(wù)理(lǐ)位置的檢測分(fēn)析,确保了行動的隐蔽性和高效率。這種對先進衛星網絡服務(wù)的利用(yòng),為(wèi)黑客提供了一個難以追蹤和監控的攻擊平台,大大增加了網絡安(ān)全防護的挑戰。
六、Lifting Zmiy組織初步畫像
綜合Solar公(gōng)司的報告,大緻可(kě)以對Lift Zmiy黑客組織有(yǒu)一個初步的認識。該組織是一個親烏克蘭的黑客組織,主要針對俄羅斯政府機構和私營公(gōng)司進行網絡攻擊。該組織以軟件控制SCADA系統的設備,尤其是用(yòng)于控制電(diàn)梯的設備。在某些情況下,他(tā)們使用(yòng)Starlink的IP地址與受系統連接,表明這些攻擊可(kě)能(néng)源自烏克蘭。
Lifting Zmiy的攻擊模式通常通過口令猜測進行初始滲透,然後在系統中(zhōng)紮根,利用(yòng)反向SSH、SSH後門和GSocket等開源工(gōng)具(jù)管理(lǐ)受感染系統并傳遞惡意文(wén)件。4RAYS網絡威脅研究中(zhōng)心的專家在調查過程中(zhōng)發現了十多(duō)台受感染的PLC設備,這些設備的在俄羅斯制造的電(diàn)梯控制和調度設備上使用(yòng)。
Lifting Zmiy的主要目标竊取數據,并在某些情況下是破壞受害者的資料。專家們在調查過程中(zhōng)還發現,該組織的惡意活動從初始入侵到主動行動占用(yòng)數月時間,在此期間可(kě)能(néng)不會有(yǒu)明顯的惡意活動痕迹。
七、小(xiǎo)結及建議
早在2022年,關于“Tekon-Automatika”控制器的漏洞利用(yòng)方法已被公(gōng)開,盡管該公(gōng)司随後采取了措施移除默認登錄信息,但黑客仍成功入侵,表明部分(fēn)用(yòng)戶未更新(xīn)安(ān)全設置或黑客通過暴力破解獲取了新(xīn)口令。針對這種由OT系統攻擊控制,進而實施向更多(duō)IT系統的攻擊手法,安(ān)帝科(kē)技(jì )建議用(yòng)戶遵循基本的最佳OT安(ān)全實踐顯得更加必要且緊迫。
1、強化口令安(ān)全:确保所有(yǒu)系統使用(yòng)強口令,并實施定期更換口令的政策,避免使用(yòng)默認或通用(yòng)口令。
2、啓用(yòng)雙因素認證:在關鍵系統上實施雙因素認證,以增加額外的安(ān)全層,确保即使口令被破解,攻擊者也無法輕易獲得訪問權限。
3、及時更新(xīn)與打補丁:定期檢查并更新(xīn)系統軟件,及時應用(yòng)安(ān)全補丁,以修複可(kě)能(néng)被利用(yòng)的已知漏洞。
4、網絡隔離與監控:對關鍵基礎設施實施網絡隔離,并部署入侵檢測系統,以監控和防範未授權的訪問或可(kě)疑行為(wèi)。
5、安(ān)全意識教育:對員工(gōng)進行網絡安(ān)全培訓,提高他(tā)們對釣魚攻擊、惡意軟件和其他(tā)網絡威脅的認識,減少人為(wèi)安(ān)全風險。
轉載自關鍵基礎設施安(ān)全應急響應中(zhōng)心