暂时关闭,

一个VPN漏洞是如何让勒索软件破坏两家制造厂的

在工业环境中打补丁是困难的。勒索软件关闭生产更加困难。

一个VPN漏洞是如何让勒索软件破坏两家制造厂的
盖蒂图片社

卡巴斯基实验室(Kaspersky Lab)的一名研究人员周三表示,在部署了一种相对较新的病毒后,勒索软件运营商关闭了一家欧洲制造商的两家生产设施,该病毒加密了控制一家制造商工业流程的服务器。

这种被称为Cring的勒索软件在一年后引起了公众的注意博客1月.它通过利用Fortinet出售的vpn中长期修补的漏洞来控制网络。该漏洞名为CVE-2018-13379,允许未经身份验证的攻击者获取包含VPN用户名和明文密码的会话文件。

有了初始的立脚点,实时Cring操作员执行侦察,并使用Mimikatz工具的定制版本,试图提取存储在服务器内存中的域管理员凭证。最终,攻击者使用Cobalt Strike框架安装Cring。为了掩盖正在进行的攻击,黑客将安装文件伪装成来自卡巴斯基实验室或其他提供商的安全软件。

一旦安装,勒索软件使用256位AES加密锁定数据,并使用硬编码到勒索软件中的RSA-8192公钥加密密钥。留下的字条需要两个比特币来换取解锁数据的AES密钥。

更有价值

卡巴斯基实验室ICS CERT团队成员Vyacheslav Kopeytsev在一封电子邮件中说,今年第一季度,Cring病毒感染了德国一家未透露姓名的制造商。感染扩散到一个服务器托管数据库,这是制造商的生产线所需要的。结果,制造商在意大利运营的两个工厂的生产过程被暂时关闭。卡巴斯基实验室认为停机持续了两天。

“攻击的各种细节表明,攻击者仔细分析了被攻击组织的基础设施,并根据在侦察阶段收集的信息准备了他们自己的基础设施和工具集,”Kopeytsev在一份报告中写道博客.他接着说,“对攻击者活动的分析表明,基于对被攻击组织的网络进行的侦察结果,他们选择对那些服务器进行加密,攻击者认为损失这些服务器将对企业的运营造成最大的破坏。”

事件响应人员最终从备份中恢复了大部分但不是所有的加密数据。受害者没有支付任何赎金。目前还没有关于感染造成伤害或不安全状况的报道。

明智的建议不被重视

2019年,研究人员观察到了黑客积极地利用关键的FortiGate VPN漏洞。当时大约有48万台设备连接到互联网上。上周,联邦调查局和网络安全和基础设施安全局表示,CVE-2018-13379是其中之一FortiGate VPN漏洞这些信息很可能被用于未来的攻击。

Fortinet 11月它检测到“大量”的VPN设备仍然没有针对CVE-2018-13379打补丁。该报告还表示,公司管理人员知道有报告称,这些系统的IP地址正在地下犯罪论坛出售,或者有人在全互联网范围内扫描,以寻找未打补丁的系统。

在周四发布的一份声明中,Fortinet的管理人员写道:

客户的安全是我们的首要任务。例如,CVE-2018-13379是一个在2019年5月解决的旧漏洞。Fortinet立即发布了PSIRT咨询,并在2019年8月、2020年7月和2021年4月多次通过企业博客文章直接与客户沟通,强烈建议升级。根据解决方案,我们一直与客户沟通,直到2021年4月。如需获取更多信息,请访问我们的博客,并立即参考2019年5月的建议。如果客户还没有这样做,我们敦促他们立即实施升级和缓解措施。

Kopeytsev说,除了没有安装更新之外,这家总部位于德国的制造商还忽视了安装杀毒软件更新,并将敏感系统的访问限制为只有特定的员工。

这并不是第一次制造过程被恶意软件破坏。在2019一次又一次去年本田在受到WannaCry勒索软件和一个未知的恶意软件感染后停止了生产。世界上最大的铝生产商之一挪威海德鲁公司(Norsk Hydro of Norway)就是这样2019年遭受勒索软件攻击关闭了该公司的全球网络,停止或中断了工厂,并迫使IT工人匆忙恢复正常运营。

在工业环境中修补和重新配置设备可能特别昂贵和困难,因为其中许多设备需要持续运行,以保持盈利能力和按计划运行。为了安装和测试安全更新或对网络进行更改而关闭一条装配线可能会导致现实生活中不可忽视的费用。当然,让勒索软件运营商自行关闭一个工业流程是一种更可怕的情况。

更新后增加了来自Fortinet的声明。

57岁的读者评论

  1. 我敢肯定那些精打细算的人和(高层)经理没有意识到:

    由于打补丁而偶尔出现停机的成本<由于需要从备份恢复而导致的恶意软件引起的停机和随后的DR事件的成本

    将会因为他们阻止IT完成他们的工作和确保IT基础设施的安全和更新的决定而面临严重的后果。

    ...

    图像
    5082个帖子|注册
  2. 有计划的、短暂的停机(当然,带有回滚过程!)要比“测试”备份策略的计划外停机要好得多。

    如果你在制造行业,和你的主管谈谈一周的停机时间对他们的底线是什么。
    526个帖子|注册
  3. jamesb2147写道:
    有计划的、短暂的停机(当然,带有回滚过程!)要比“测试”备份策略的计划外停机要好得多。

    如果你在制造行业,和你的主管谈谈一周的停机时间对他们的底线是什么。


    幸运的是,那不是我的小组,而是我部门的一个小组。在他们的容灾测试中,到容灾环境的故障转移工作得非常好,但他们无法回滚到生产服务器。当他们分析问题时,他们在DR服务器上运行了整整一周的生产。我认为他们没有告诉用户。
    308个帖子|注册
  4. Fortinet甚至不会对HA收取“那么”多的费用——只需购买第二台路由器并使其处于备用状态。每次升级一个,您就不会有停机时间。
    13个帖子|注册
  5. 福提内的HA在这里什么都买不到…因为它将自动升级辅助服务器、执行故障转移,然后更新主服务器。

    二级学校已经有了和一级学校完全一样的问题。

    不过我得说,我有点嘲笑我上一份工作的IT总监……因为他非常“厌恶风险”,拒绝在没有18个月周期的情况下更新。我敢肯定,不管我告诉他什么,不管我读了多少发行说明,他都把发行号看得比什么都重要……只要他们说"稳定"就行。
    82802个帖子|注册
  6. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?
    注册了680个帖子
  7. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?


    绝大多数的健康、可再生能源、核能、电网控制、企业和世界上的所有其他业务?

    如果你认为气隙可以保护你免受坏人的伤害,那你就大错特错了。
    82802个帖子|注册
  8. 通常,在这一点上,我会抱怨这个行业继续坚持信任网络,而不是真正地在他们的前端建立真正的身份验证。但在这种情况下,这些人在基本层面上搞砸了,我相当怀疑他们是否能够执行一个不同的安全模型。

    (免责声明:我为谷歌工作,该公司销售与本文讨论相关的云服务。如果你想了解更多,请搜索“BeyondCorp”。)
    657个帖子|注册
  9. (我最早是从马库斯·j·拉努姆那里听说的)

    “气隙只是一个缓慢的网络链接。”

    这意味着最终它会忘记安装它的原因,并被删除或禁用。
    41个帖子|注册
  10. 您有两个选择:为维护/补丁计划停机,或计划外停机。我每次都是有计划的。
    4703个帖子|注册
  11. rtrefz写道:
    您有两个选择:为维护/补丁计划停机,或计划外停机。我每次都是有计划的。


    但有计划的事件有一个已知的持续时间,因此有一个可计算的成本,而未计划的事件可能不会发生,谁知道如果发生了,它会持续多久,所以没有具体的成本。

    < / MBAlogic >
    注册了1783个帖子
  12. 引用:
    一旦安装,勒索软件使用256位AES加密锁定数据,并使用硬编码到勒索软件中的RSA-8192公钥加密密钥。

    RSA-8192实在是太过分了。不知道他们为什么选择了一个大数字™。
    118个帖子|注册
  13. 让我们总结一下。

    所有的网络都不应该被信任。根据定义,ZTN比任何其他版本都更安全。(以前我称它为“戴在海星上的手套”)。

    会话。令牌。短期,短命,等等。
    82802个帖子|注册
  14. 安全是……仍然困难。
    5105个帖子|注册
  15. 引用:
    如果你认为气隙可以保护你免受坏人的伤害,那你就大错特错了。


    如果第一个违反气隙而不遵守所有规定程序的人就会被解雇。如果违反安全程序是联邦犯罪,它也会有帮助。

    有时客户希望我违反流程以快速安装新软件。我不得不解释说,由于其他人的参与,飞机至少延误了一夜。他可以打电话给他们的老板,让他们来,如果他真的想要更快,但仍然会延迟3-5小时,这取决于备份和扫描所需的时间。如果没有那个电话,我们可能在第二天早上9点就准备好了。两个保安都是早起的人。

    然后我会说:“我不会为你或任何人去坐牢。”
    garp
    |注册了3301个帖子
  16. 希望他们破坏了朝鲜的核工厂。
    登记的帖子有2470个
  17. 在我们的实验室里,我们使用桌面来运行我们的设备,其中一些连接到内部网。我们有一个伟大的IT团队,所以这种事情发生的几率很小。尽管如此,我一直在想,为什么我们需要完全成熟的pc来控制我们的实验设置。当然,这是方便和便宜的,但作为一个参与了该工具设计的人,一个带有前端的嵌入式系统应该足够了,至少它需要一个更有针对性的恶意软件来搞坏它。
    497个帖子注册
  18. 引用:
    我们有一个很棒的IT团队


    你确定吗?
    82802个帖子|注册
  19. “当时大约有48万台设备连接到互联网。”嗯,丹,我想你在这里漏掉了一个限定词——连接到互联网的设备....已经很久没有少于100万台了
    29个帖子|注册
  20. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?


    伊朗的离心机是有气隙的。
    注册了1737个帖子
  21. Hispalensis写道:
    尽管如此,我一直在想,为什么我们需要完全成熟的pc来控制我们的实验设置。当然,这是方便和便宜的,但作为一个参与了该工具设计的人,一个带有前端的嵌入式系统应该足够了,至少它需要一个更有针对性的恶意软件来搞坏它。


    这是事实,但你也忘记了,普通桌面也有更容易使用的安全软件,备份、恢复和更新过程通常更容易、更快地执行,而且你的IT部门可能已经有了适当的基础设施,可以将它们推广到所有这些桌面。

    通过模糊实现的安全(在这种情况下,使用分布不太广泛的嵌入式操作系统而不是常规的桌面操作系统)并不是真正的安全。这可能会让攻击者花费更多的时间,但也会让所有的安全操作比原来更加困难。最好还是坚持使用常规的桌面,这样您就可以随时打补丁,并且知道如何扫描它们的漏洞,而不是将它们切换到您不知道的嵌入式内容中的漏洞。
    2个帖子|注册
  22. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?


    我所在分公司的许多工业机器(金属切割)仍然运行windows 7、windows XP、windows 98、windows 95和windows NT。这些机器的价格有时在数百万美元左右。一个“简单”的更新意味着10万美元的价格标签和1-3个月的停机时间来更换几乎所有的电气和电子电路,包括重写和重新测试PLC软件。通常,这些机器形成一个FMS单元(柔性制造单元),它与许多非常古老、过时的硬件和软件紧密集成在一起,没有人知道如何服务。
    25个帖子|注册
  23. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?
    关键是,你有一个集中的设计数据库,所以你可以在所有的生产现场得到相同的结果。如果不建立一个覆盖整个大陆的私有内部网,你就无法突破这一点。
    4712个帖子|注册
  24. Albino_Boo写道:
    谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?
    关键是,你有一个集中的设计数据库,所以你可以在所有的生产现场得到相同的结果。如果不建立一个覆盖整个大陆的私有内部网,你就无法突破这一点。



    还有,你知道电网是怎么监控的吗?知道SCADA是什么吗?
    82802个帖子|注册
  25. IT就像汽车:如果你不188金宝搏维护保养它们,它们最终会坏掉。出租车老板为他们服务,即使一辆停下的车“花了”他们钱。
    66个帖子|注册
  26. jamesb2147写道:
    有计划的、短暂的停机(当然,带有回滚过程!)要比“测试”备份策略的计划外停机要好得多。

    如果你在制造行业,和你的主管谈谈一周的停机时间对他们的底线是什么。



    我们知道在我所在的一个地方,停机时间是多少。所以,如果管理层想在某件事上完全愚蠢。我们只是把它放在停机时间的成本实现。

    其中一个项目花费了我们3000美元。我们在所有工作站都装了固态硬盘。它将机器的重启时间从5分钟缩短到20秒。我们能够成像更多的SSD以备灾难性故障,我们只是拉了一个工作站,放入一个成像驱动器,我们在几分钟内就启动并运行了。

    它在挫折中节省了数十万美元。
    766个帖子|注册
  27. 谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?

    随着我们迈向工业4.0,气隙越来越不切实际。制造、供应和客户系统变得越来越一体化。
    气隙对于需要持续监控的机器来说也是不可实现的,当逻辑、传感器和执行器不是物理上位于气隙后面的单个隔离点时。
    需要考虑严重的安全影响,但不可否认的是,生产生态系统更紧密集成的趋势和设备虚拟化的趋势正在发生。
    39个帖子|注册
  28. Frennzy写道:
    福提内的HA在这里什么都买不到…因为它将自动升级辅助服务器、执行故障转移,然后更新主服务器。

    二级学校已经有了和一级学校完全一样的问题。

    我一定是有解析问题,因为我看不出这有什么用。

    使用HA,您将能够保持您的VPN端点打补丁,同时避免停机。这不正是你要回复的帖子的重点吗?

    请帮我理解我错过了什么。
    21个帖子|注册
  29. 引用:
    试图提取存储在服务器内存中的域管理员凭据。

    ——在文章中搜索“窗口”,结果是空的。提醒我一下,为什么会这样?

    这显然是一个在微软单一文化中蓬勃发展的害虫(并不是说它在任何其他操作系统上都是技术上不可能的)。难道在任何一篇关于基于windows的漏洞的文章中,操作系统都会被命名吗?
    74个帖子|注册
  30. 我敢肯定那些精打细算的人和(高层)经理没有意识到:

    由于打补丁而偶尔出现停机的成本<由于需要从备份恢复而导致的恶意软件引起的停机和随后的DR事件的成本

    将会因为他们阻止IT完成他们的工作和确保IT基础设施的安全和更新的决定而面临严重的后果。

    ...

    图像


    没那么简单。其中一些工厂需要24-36小时才能恢复生产能力。仅一家工厂每小时损失30万美元可不是小事。尤其是那些钱还能提供薪水。

    在这些情况下,投资测试和研发站点是可行的方法,但如果更改/补丁需要关闭工厂,那么仅健康和安全时间线就需要8个小时才能恢复运行+执行本身的时间。
    279个帖子|注册
  31. NYKevin写道:
    通常,在这一点上,我会抱怨这个行业继续坚持信任网络,而不是真正地在他们的前端建立真正的身份验证。但在这种情况下,这些人在基本层面上搞砸了,我相当怀疑他们是否能够执行一个不同的安全模型。

    (免责声明:我为谷歌工作,该公司销售与本文讨论相关的云服务。如果你想了解更多,请搜索“BeyondCorp”。)


    你最好告诉人们搜索"零信任"

    编辑:另外,作为一个在Uberproxy之后开发第三方应用多年的人,事情并没有那么简单。免责声明:Xoogler集团。
    注册了2680个帖子
  32. iseptimus写道:
    我敢肯定那些精打细算的人和(高层)经理没有意识到:

    由于打补丁而偶尔出现停机的成本<由于需要从备份恢复而导致的恶意软件引起的停机和随后的DR事件的成本

    将会因为他们阻止IT完成他们的工作和确保IT基础设施的安全和更新的决定而面临严重的后果。

    ...

    图像


    没那么简单。其中一些工厂需要24-36小时才能恢复生产能力。仅一家工厂每小时损失30万美元可不是小事。尤其是那些钱还能提供薪水。

    在这些情况下,投资测试和研发站点是可行的方法,但如果更改/补丁需要关闭工厂,那么仅健康和安全时间线就需要8个小时才能恢复运行+执行本身的时间。


    他嘲笑高层管理人员理解这一点

    对于这些人来说,IT是一个“成本中心”而不是“实现中心”,因此IT成本在每一个机会都被削减
    577个帖子注册
  33. 对于那些想知道为什么窗户会在这些工业机器上看到一个解释。

    许多重型机械实际上是在plc(可编程逻辑控制器)和/或其他嵌入式系统(运行某种RTOS)上运行的,问题是这些系统中的大多数都没有很好的用户体验/UI,所以通常会有一台“正常的”PC在旁边提供用户界面,启动/停止进程,更新设置,加载参数等(甚至有时运行一些非关键/非RT控制进程)。这种用户界面PC通常运行Windows或Linux。也取决于PLC的制造商,这些接口pc可能实际上嵌入在PLC外壳中,所以几乎不可能交换。
    6个帖子|注册
  34. 人们一直在说比特币或加密货币是未来的货币

    加密货币对企业和政府几乎没有任何好处,但有害的方面太多了


    勒索软件的数量不断增加,因为他们实际上是在用加密支付印刷货币
    304个帖子注册了
  35. PokemonPets写道:
    人们一直在说比特币或加密货币是未来的货币

    加密货币对企业和政府几乎没有任何好处,但有害的方面太多了


    勒索软件的数量不断增加,因为他们实际上是在用加密支付印刷货币


    在比特币出现之前,数据赎金存在吗?
    683个帖子|注册
  36. Frennzy写道:
    Albino_Boo写道:
    谁会把工业过程放在一个没有空气间隙的网络上?或者使用windows来运行机器?过程监控。但所有的控制功能通常都需要有人在场。我们肯定不是唯一重视安全的公司吧?
    关键是,你有一个集中的设计数据库,所以你可以在所有的生产现场得到相同的结果。如果不建立一个覆盖整个大陆的私有内部网,你就无法突破这一点。



    还有,你知道电网是怎么监控的吗?知道SCADA是什么吗?
    阅读这篇文章,你会惊讶地发现,一个拥有多个生产基地的公司拥有一个中央数据库。
    4712个帖子|注册
  37. 我有朋友在一家大型制造商(工具、模具、模具)工作,几家工厂都使用ERP系统。

    在过去的某个时刻,有人在ERP的文件夹上粘贴了一个共享。
    它被勒索了,就这样没有工厂能运行ERP

    没有数据损坏或类似的东西,只有配置文件,程序集等。

    该工厂可以在一段初始停机时间后运行,但不能记录生产、库存或打印正在移动或运输的物品的标签。

    我相信他们一直在生产和运输,有人手动做标签,而他们从备份恢复。真是一团糟。

    他们规模很大,有数千名员工。整个IT团队等等,但这是一个让事情变得简单的人做的事情。不是故意的。
    243个员额已登记
  38. arobert3434写道:
    PokemonPets写道:
    人们一直在说比特币或加密货币是未来的货币

    加密货币对企业和政府几乎没有任何好处,但有害的方面太多了


    勒索软件的数量不断增加,因为他们实际上是在用加密支付印刷货币


    在比特币出现之前,数据赎金存在吗?

    是啊,但你得在小巷子里遇到一些黑道人物还带着一箱子可卡因。
    5105个帖子|注册
  39. Hispalensis写道:
    在我们的实验室里,我们使用桌面来运行我们的设备,其中一些连接到内部网。我们有一个伟大的IT团队,所以这种事情发生的几率很小。尽管如此,我一直在想,为什么我们需要完全成熟的pc来控制我们的实验设置。当然,这是方便和便宜的,但作为一个参与了该工具设计的人,一个带有前端的嵌入式系统应该足够了,至少它需要一个更有针对性的恶意软件来搞坏它。


    “嵌入式”通常指的是一个运行与你的台式电脑相同软件的旧版本的盒子,只是更难打补丁。
    836个帖子注册

你必须置评。

通道Ars Technica