我的位置 威胁预警  >  恶意代码公告

俄罗斯如何入侵关基工控系统?Vulkan网络武器库泄露文档分析

来源:安全内参 时间:2023-06-09 阅读次数:
Vulkan网络武器库泄露文档显示,Amesit-B平台拥有攻击铁路和石化工业环境的能力,可实现对物理设备进行降级、损毁或者破坏,甚至还可以对人员造成杀伤。Dragos表示其中的TTP与多个已曝光的威胁组织重叠。
6月8日消息,近期多家西方媒体曝光了俄罗斯网络战主要支撑机构“NTC Vulkan”公司及其开发的网络武器库,这批数据被命名为“Vulkan文件”。
美国知名工控安全服务商Dragos对“Vulkan文件”进行分析,从中梳理出了针对关键基础设施工控系统的网络攻击工具,Amesit项目的子系统Amesit-B的相关情况。安全内参总结如下。

 

Amesit-B系统介绍

Amesit已被俄罗斯使用数年。该项目拥有众多子系统,涉及内容多、范围广,可以管理整个信息运营生命周期,包括媒体监控、内容创建和传播以及运营有效性评估。曝光的文件显示,Amesit项目参与者包括情报机构、私有公司甚至被政府计算机网络行动部门招安的犯罪分子。

Amesit-B是Amesit项目的子系统之一。该系统是由罗斯托夫科学无线电通信研究所主导、NTC Vulkan配合开发的软件和硬件“套装”。西方国家认为,Amesit-B是一个能够实施网络攻击活动的平台,可执行或协调信号情报收集、电子战、恶意影响以及攻击和防御等网络任务。其功能如下:

  • 数据网络的自主分段

  • 加密信息破解

  • 互联网与媒体监视

  • 远程通信及生命支持系统信息和技术设施控制。按俄方说法,“生命支持系统”指石油管道、铁路和运输系统、水处理设施等民用关键基础设施。

  • 数据中继

  • 实施恶意影响活动所需特殊材料的准备、投放和升级

  • 远程通信设备的测试

  • 储存

  • 结果处理

值得注意的是,Amesit-B的设计初衷是对工业控制系统,特别是铁路和石油设施进行攻击。其内部模块可对铁路和石油化工设施及环境造成多种影响,比如物理设施的损毁、形成可给人员带来杀伤的不安全环境等。

Amesit-B具备的能力

Amesit-B的设计目的,是帮助作战指挥人员取得对军事占领区域内信息流动的物理和逻辑控制。

需要特别指出的是,该系统应该能够通过对本地一级互联网提供商网络基础设施的物理访问,获得对区域内互联网的控制权,以及对当地GPS系统、移动通信系统以及社交媒体实施阻塞或操控的能力。

概念设计

Amesit-B项目的重点在于满足俄罗斯政府通过任务大纲发布的技术需求。

在无法获得上述任务大纲的情况下,Dragos公司对Amesit-B项目的概念设计进行了梳理,发现俄罗斯政府的技术需求之一,是要求与远程通信和信息运营生命周期相关的信息及技术设施控制软件能够对分布级与核心层远程通信设备进行测试,以便外部侵入者能够借此实现入侵突破。

另外,该控制软件还应该具备安装“第三方扩展模块”的能力,以及现代防护手段无法探测到的新型加载与功能测试能力。后者的目标,是对远程通信设备的运行进行阻塞。

与此同时,Amesit-B项目的概念设计还强调了细化远程通信设备控制和扩展模块技术需求的必要性。

预测试方法

预测试方法文档概述了测试概念设计诸环节是否满足任务大纲需求的技术流程。

文档显示,预测试方法要求必须首先为Amesit-B建立一个模型环境,该环境具备将作用机制可视化的能力,并具体描述了如何使用模型环境顺利完成能力测试。

测试流程中可能会对模型环境进行物理访问,但这并不意味着在实际使用过程中也会对目标网络或设备进行物理访问。实际上,部分涉及如何对攻击型操作技术进行测试的文档被归类于“概念设计”的总体要求之下。

Dragos公司分析后认为,Amesit-B 的设计者希望通过对后端远程通信基础设施的控制获得特定的攻击能力。

Amesit-B生命支持专用软件

生命支持专用软件是Amesit-B 平台的子系统,可帮助操作者对网络以及识别硬件、固件和软件的尝试进行扫描,可在攻击工业设备的过程中发挥核心作用。

生命支持专用软件拥有一个可从MITRE ATT&CK框架(安全内参注:CVE数据)中拷贝漏洞信息的数据库,可以向操作者自动通报隐藏于被扫描网络中的潜在漏洞。

操作者因而能够借此对计算机网络实施侵入,在网络中搜集信息,还可进一步实现财产损失、拒绝控制、失去控制、生产力和收入损失、失去保护、失去安全性、操纵控制、窃取业务信息等操作。这些操作不仅能够对物理设备进行降级、损毁或者破坏,甚至还可以对人员造成杀伤。

可以推断的是,Amesit-B 生命支持专用软件的合约完成后,可建立两个比例在1:70和1:87之间、包含有传感器和致动器的模型,用于模拟能够造成物理效果的网络攻击活动。

重点攻击能力

地址解析欺骗攻击(ARP spoofing attack)是两种被加以特别测试的能力之一。该攻击可对铁路系统、石油化工设备及其运行造成重大影响。攻击是否成功可通过以下标准判断:

首先是对铁路系统的地址解析欺骗攻击。

对路轨操作技术环境模型的模拟地址解析欺骗攻击被称为“试验台”。如果成功可对工业控制过程造成物理性改变,模型的运行可同时产生可视性变化(比如触发灯光报警、物品撞击、散发烟雾,等等)。成功标准如下:

  • 未获授权的路轨转换

  • 列车撞击

  • 车库及编组处入口事故

  • 快速行驶中的列车失控

  • 热电联供系统故障造成断电

  • 屏障操作故障

其次是对石油化工设备及其运行的地址解析欺骗攻击。

攻击一旦成功,可对技术性工业控制过程造成物理性改变,模型还会在运行中发生可视性变化。模拟攻击的主要目标,是使用支持专用软件远程完成下列任务:

  • 关闭闸阀

  • 关闭泵组

  • 过量充装贮罐

  • 泄露原材料

  • 造成泵组气蚀,并伴随泵组振动

  • 造成泵组过热并产生烟雾

  • 油加热站在操作温度过高的情况下产生烟雾

结论

正如曝光的合同项目所显示的,俄罗斯情报机构一直致力于钻研更高效的网络行动方法及手段。

同时,他们还在大力研究如何让网络活动造成物理效果,并将目标锁定在能源设施、石油与天然气、供水设施以及交通系统等关键基础设施身上。

防御方应该对此有所警惕,做好保护关键基础设施及服务的准备。鉴于以上分析,Dragos公司推荐使用五种关键控制方案,即ICS事故响应方案、建立防御性结构、ICS网络可视化及监视、保证远程读取的安全、基于风险的漏洞管理。

参考资料:

dragos.com

 

 

原文来源:安全内参

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”