您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
七分之一的勒索軟件攻擊泄露關(guān)鍵OT信息
數(shù)據(jù)泄漏一直是企業(yè)關(guān)注的問(wèn)題,敏感信息泄露可能導(dǎo)致聲譽(yù)受損、法律處罰、知識(shí)產(chǎn)權(quán)損失、甚至影響員工和客戶(hù)的隱私。然而很少有關(guān)于工業(yè)企業(yè)面臨的威脅行為者披露其OT安全、生產(chǎn)、運(yùn)營(yíng)或技術(shù)的敏感細(xì)節(jié)的研究。
2021年,Mandiant威脅情報(bào)研究發(fā)現(xiàn),勒索軟件運(yùn)營(yíng)者試圖通過(guò)在泄露網(wǎng)站上披露竊取的信息來(lái)勒索數(shù)千名受害者。這種趨勢(shì)稱(chēng)之為“多方面勒索”,在短短一年內(nèi)影響了關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)生產(chǎn)部門(mén)的1,300多家組織。
為了驗(yàn)證“多方面勒索”泄漏對(duì)OT構(gòu)成的風(fēng)險(xiǎn)程度,Mandiant分析了通常利用OT系統(tǒng)進(jìn)行生產(chǎn)的行業(yè)的半隨機(jī)樣本。利用各種技術(shù)和人力資源,研究人員下載并解析了數(shù)TB轉(zhuǎn)儲(chǔ)數(shù)據(jù),發(fā)現(xiàn)了大量敏感的OT文檔,包括網(wǎng)絡(luò)和工程圖、操作面板圖像、第三方服務(wù)信息等。由于數(shù)據(jù)集的規(guī)模,對(duì)每個(gè)轉(zhuǎn)儲(chǔ)的分析是有限的,并且對(duì)少數(shù)轉(zhuǎn)儲(chǔ)進(jìn)行更有針對(duì)性的檢查可能會(huì)發(fā)現(xiàn)每個(gè)組織的更多文檔。
根據(jù)研究分析,在勒索軟件泄露網(wǎng)站上發(fā)布的工業(yè)組織的泄密信息中,每七個(gè)就有一個(gè)可能會(huì)泄露敏感的OT文件。訪問(wèn)此類(lèi)數(shù)據(jù)可使威脅行為者了解工業(yè)環(huán)境、確定最佳攻擊路徑、并設(shè)計(jì)網(wǎng)絡(luò)物理攻擊。最重要的是,泄漏中還包括的其他有關(guān)員工、流程、項(xiàng)目等的數(shù)據(jù),可為威脅行為者提供非常準(zhǔn)確的目標(biāo)文化、計(jì)劃和運(yùn)營(yíng)狀況。
主要發(fā)現(xiàn)
2020年初,美國(guó)工業(yè)承包商Visser泄露了其客戶(hù)的技術(shù)文檔,包括航空航天和工業(yè)制造企業(yè)。一年后,一個(gè)威脅行為者在地下論壇上轉(zhuǎn)發(fā)了Doppelpaymer勒索軟件組織從拉美一家石油和天然氣組織竊取的2.3GB數(shù)據(jù),聲稱(chēng)其中包含OT信息。
分析了泄漏的數(shù)據(jù)發(fā)現(xiàn),其中包括用戶(hù)名和密碼、IP地址、遠(yuǎn)程服務(wù)、資產(chǎn)標(biāo)簽、原始設(shè)備制造商(OEM)信息、操作面板、網(wǎng)絡(luò)圖等各種敏感數(shù)據(jù)。威脅行為者會(huì)在偵查期間尋找可以用來(lái)識(shí)別目標(biāo)OT網(wǎng)絡(luò)中的攻擊路徑的所有信息。
圖1 拉丁美洲某大型石油和天然氣組織遭勒索致泄漏數(shù)據(jù)
為了更好地理解這些數(shù)據(jù)泄露給OT資產(chǎn)所有者帶來(lái)的風(fēng)險(xiǎn),Mandiant構(gòu)建了一個(gè)大型數(shù)據(jù)集。在幾個(gè)月的時(shí)間里,網(wǎng)絡(luò)安全分析人員和數(shù)據(jù)研究人員分析了數(shù)百個(gè)泄露和收集的樣本,以找到OT文檔,并確定了至少10個(gè)包含敏感OT技術(shù)數(shù)據(jù)的轉(zhuǎn)儲(chǔ)。由于許多泄漏中的數(shù)據(jù)量很大,研究團(tuán)隊(duì)只對(duì)轉(zhuǎn)儲(chǔ)進(jìn)行了表面分析。如果有進(jìn)一步的資源投入,可能會(huì)發(fā)現(xiàn)大量額外信息。
由于資源限制或?qū)μ囟繕?biāo)感興趣,大多數(shù)威脅行為者可能會(huì)將精力集中在少數(shù)組織上。這使攻擊者能夠?qū)①Y源集中在查找每個(gè)目標(biāo)的更多信息上,這對(duì)于任何復(fù)雜的攻擊都是至關(guān)重要的。
Mandiant發(fā)現(xiàn)了超過(guò)3,000起勒索軟件運(yùn)營(yíng)商泄露竊取的數(shù)據(jù),其中大約1,300起泄漏來(lái)自可能使用OT系統(tǒng)的工業(yè)部門(mén)的組織,如能源和水設(shè)施或制造業(yè)。通過(guò)瀏覽現(xiàn)成的文件列表或其他感興趣的指標(biāo),例如威脅行為者的評(píng)論或目標(biāo)子行業(yè),選擇并檢索了數(shù)百個(gè)此類(lèi)樣本。
圖2 勒索攻擊的泄漏數(shù)量
初步分類(lèi)后,研究人員使用定制和公開(kāi)工具收集并手動(dòng)分析了大約70個(gè)泄漏,發(fā)現(xiàn)七分之一的泄漏至少包含一些有用的OT信息,而其余的則包含與員工、財(cái)務(wù)、客戶(hù)、法律文件等相關(guān)的數(shù)據(jù)。
勒索軟件數(shù)據(jù)泄漏主要在暗網(wǎng)上的各種威脅行為者運(yùn)營(yíng)的網(wǎng)站上共享。盡管每個(gè)威脅者的運(yùn)作方式不同,但即將泄密的信息通常會(huì)發(fā)布在黑客論壇或社交媒體上。任何可以訪問(wèn)Tor瀏覽器的人都可以訪問(wèn)這些站點(diǎn)并下載可用的轉(zhuǎn)儲(chǔ)文件。
圖3 勒索軟件泄露網(wǎng)站示例
下載單個(gè)泄漏信息非常簡(jiǎn)單,但鑒于可用數(shù)據(jù)量巨大,從不同泄漏中收集多個(gè)樣本非常復(fù)雜。下載這些泄漏信息的能力取決于多種因素,例如攻擊者和下載者的基礎(chǔ)設(shè)施、數(shù)據(jù)泄露的時(shí)間、獲取文件的用戶(hù)數(shù)量、以及文件本身的質(zhì)量。
研究人員利用手動(dòng)和自動(dòng)文件分析從感興趣的樣本中搜尋數(shù)據(jù),查找了網(wǎng)絡(luò)和流程圖、機(jī)器接口、資產(chǎn)清單、用戶(hù)名和密碼、項(xiàng)目文件、以及第三方供應(yīng)商協(xié)議等。
手動(dòng)分析主要通過(guò)瀏覽文件列表來(lái)識(shí)別可能存在OT相關(guān)數(shù)據(jù)的關(guān)鍵字。威脅行為者有時(shí)會(huì)發(fā)布目錄或文本文件列表,來(lái)傳播勒索數(shù)據(jù)泄露。如果沒(méi)有文件列表,則會(huì)自己創(chuàng)建一個(gè)。針對(duì)中小型轉(zhuǎn)儲(chǔ)使用了免費(fèi)的公開(kāi)取證工具Autopsy。對(duì)于較大的轉(zhuǎn)儲(chǔ)則使用定制工具或本地下載文件,通過(guò)rar或7z等默認(rèn)工具構(gòu)建列表。如果無(wú)法獲取列表,則會(huì)手動(dòng)瀏覽文件名。
有時(shí),快速查看列表和關(guān)鍵字搜索就足以確定轉(zhuǎn)儲(chǔ)是否適合分析,但有時(shí),文件命名約定并沒(méi)有透露太多信息。此外勒索泄露包含各種語(yǔ)言的數(shù)據(jù),又增加了一層復(fù)雜性。
對(duì)于中小型轉(zhuǎn)儲(chǔ)使用的是Autopsy,能夠分析相對(duì)較大的文件夾。該工具可以解析文件,并提供時(shí)間戳、文件類(lèi)型、關(guān)鍵字、其他有用數(shù)據(jù)的摘要。研究人員還能夠使用正則表達(dá)式搜索關(guān)鍵字,以查找IP地址或用戶(hù)名等數(shù)據(jù),并快速可視化現(xiàn)有文件的.jpeg圖像。
圖4 使用Autopsy分析勒索泄漏文件
然而Autopsy很難分析更大的轉(zhuǎn)儲(chǔ),解析只有幾GB的轉(zhuǎn)儲(chǔ)文件就需要好幾個(gè)小時(shí),但是泄露的數(shù)據(jù)是TB級(jí)別的,因此必須構(gòu)建定制工具來(lái)可視化和分析大量數(shù)據(jù)。即使使用定制工具,仍然需要大量存儲(chǔ)能力和人力投資來(lái)處理數(shù)據(jù)。
在如此大量的文件中找到敏感的OT文檔并不容易。此次調(diào)查結(jié)果包括來(lái)自不同部門(mén)和地區(qū)的組織的數(shù)據(jù)。
數(shù)據(jù)泄漏的影響
勒索軟件泄露的敏感OT和網(wǎng)絡(luò)文檔可供任何人下載,包括安全研究人員、行業(yè)競(jìng)爭(zhēng)對(duì)手或威脅行為者。最令人擔(dān)憂(yōu)的是資源充足的威脅行為者,他們有能力系統(tǒng)地尋找數(shù)據(jù),以了解特定目標(biāo)。
從歷史上看,間諜活動(dòng)曾幫助國(guó)家資助的組織獲取有關(guān)工業(yè)組織運(yùn)作的詳細(xì)信息。這些偵察數(shù)據(jù)支持了真實(shí)網(wǎng)絡(luò)物理攻擊的不同階段,例如2015年和2016年的烏克蘭停電和TRITON事件。
來(lái)自勒索泄露的數(shù)據(jù)可能會(huì)為老練的威脅者提供有關(guān)目標(biāo)的信息,同時(shí)減少對(duì)防御者的暴露和運(yùn)營(yíng)成本。威脅者還可以根據(jù)有關(guān)受害者基礎(chǔ)設(shè)施、資產(chǎn)、安全漏洞和流程的現(xiàn)成敏感數(shù)據(jù)來(lái)選擇目標(biāo)。利用更高水平的網(wǎng)絡(luò)物理偵察數(shù)據(jù)的攻擊可能會(huì)產(chǎn)生更顯著和更精確的影響。
資源和能力有限的威脅者對(duì)大型勒索泄露數(shù)據(jù)的可見(jiàn)性可能會(huì)更有限。但是他們?nèi)匀豢梢蕴剿鬓D(zhuǎn)儲(chǔ),以了解組織、滿(mǎn)足好奇心、或轉(zhuǎn)發(fā)內(nèi)容。
緩解措施
根據(jù)研究分析,在勒索軟件泄露網(wǎng)站上發(fā)布的工業(yè)組織的泄密信息中,每七個(gè)就有一個(gè)可能會(huì)泄露敏感的OT文檔。訪問(wèn)此類(lèi)數(shù)據(jù)可以使威脅者了解工業(yè)環(huán)境、確定最佳攻擊路徑、并設(shè)計(jì)網(wǎng)絡(luò)物理攻擊。最重要的是,泄漏中還包括的其他有關(guān)員工、流程、項(xiàng)目等的數(shù)據(jù),可為威脅行為者提供非常準(zhǔn)確的目標(biāo)文化、計(jì)劃和運(yùn)營(yíng)狀況。
即使暴露的OT數(shù)據(jù)相對(duì)較舊,網(wǎng)絡(luò)物理系統(tǒng)的典型壽命也從20年到30年不等,這導(dǎo)致泄漏與偵察工作相關(guān)的時(shí)間比IT基礎(chǔ)設(shè)施上的暴露信息要長(zhǎng)得多。為了預(yù)防和減輕暴露的OT數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn),建議應(yīng)用以下緩解措施:
● 制定并實(shí)施穩(wěn)健的數(shù)據(jù)處理策略,以確保內(nèi)部文檔受到保護(hù)。避免將高度敏感的操作數(shù)據(jù)存儲(chǔ)在安全性較低的網(wǎng)絡(luò)中;
● 勒索軟件入侵的受害者應(yīng)評(píng)估泄露數(shù)據(jù)的價(jià)值,以確定哪些補(bǔ)償控制有助于降低進(jìn)一步入侵的風(fēng)險(xiǎn);
● 更改泄露的憑據(jù)和API密鑰,考慮更改關(guān)鍵系統(tǒng)和OT跳轉(zhuǎn)服務(wù)器的公開(kāi)IP地址;
● 定期進(jìn)行紅隊(duì)演習(xí),以識(shí)別外部暴露和不安全的內(nèi)部信息。
參考資源:
【1】https://www.mandiant.com/resources/ransomware-extortion-ot-docs
來(lái)源:天地和興