安全研究 | 追踪伊朗钢铁厂被黑始末

2022-06-30 来源:长扬科技


前言

伊朗国有企业胡齐斯坦钢铁公司,是当地最大的钢锭供应商和第二大粗钢生产中心,位于阿瓦士市附近,这家公司的工厂面积为8.3平方公里,成立于1967年4月3日,是伊朗第一家采用直接还原法和电弧炉的钢铁生产联合体公司,该公司与另外两家大型国有企业一起垄断了伊朗的钢铁生产。


6月26日,胡齐斯坦钢铁公司遭到“Gonjeshke Darande”黑客组织攻击。黑客组织声称共入侵三家钢铁公司:the Khouzestan Steel Company (KSC), the Mobarakeh Steel Company (Isfahan) (MSC) 和 the Hormozgan Steel Company (HOSCO),公布的图片视频为KSC公司。此次黑客攻击导致了工厂内重大安全事故。


伊朗官方媒体似乎证实了这些袭击事件,并写道:“该国部分钢铁信息技术系统遭到外敌的攻击‍”。


1656581581975003.jpg


1656581654116941.jpg


以上图1、图2为波斯语网站内容机译版(已调整至符合汉语阅读习惯的版面格式)


伊朗中部城镇Mobarakeh的一家钢铁厂表示,其系统也遭到了攻击,而官方的伊朗报纸报道称,伊朗南部港口班达阿巴斯(Bandar Abbas)的另一家工厂也遭到了网络攻击。两家工厂都不承认有任何损坏或工作中断。


一个自称“Gonjeshke Darande”的黑客组织声称对其电报频道和Twitter上发布的消息中的攻击负责。该组织发布的截图据称显示了其中一个钢铁设施的内部环境以及似乎是工业控制仪表盘的界面。


1656570356905093.jpg

图3 “Gonjeshke Darande”黑客组织发布的twitter消息


根据黑客组织方提供的三张图片和一个视频,长扬科技安全研究院针对“Gonjeshke Darande”如何操控工厂设备以及如何入侵工厂进行深入分析。视频主要是钢水包泄漏的监控视频,三张图片分别是监控拍摄的钢水包图片、DCS的操作截图和流量监控软件截图。


01 图片视频分析

流出的视频全程70秒,重要部分在36秒之后。从监控视频的角度可以直接拍摄到钢水包,而攻击者能找到DCS系统并控制这个钢水包,说明攻击者非常了解厂内的运行结构,从事件公布的时间来看,有足够的理由判定入侵时间已经存续了一定的时间,这个时间极有可能长达1-2个月不等。


10-13秒,钢水包开始外溢,工人进行查看。

1656570622852156.png

图4 视频10-13秒


36秒-39秒,如图5所示,根据境外媒体的报告:“该镜头显示钢坯生产线上的一台重型机械发生故障并引发大火”,据咨询行业内的专业人士分析,此事故不是普通故障引发的大火,而是钢水包不受控制一直外溢,导致全部钢水流出。10-36秒视频显示直接倾倒钢水,而对PLC的传统攻击方式多为“启停”操作,从工业设备的控制角度来说,攻击者实际已经掌控了DCS系统的最高权限。


1656570737967023.png

图5 视频36-39秒


黑客“Gonjeshke Darande”组织发布的图6为一张控制面板图,从图中可以分析出几个关键信息。该图是一张高清图,软件通常安装在Windows操作系统的PC机上并和PLC进行通信,说明其已经获取了软件底层操作系统的控制权限。图6左下部分为视频中的钢水包,图中中间黄色的部分如下:DRI、COKE等为储料罐的材料一些催化剂;右侧中间ANALYSIS部分T为温度,O2为含氧量,C为含碳量。DCS系统的运行时间是26号下午6点37分,图5的视频发生为27号凌晨3点20分。


1656570817278752.png

图6 控制面板


图7的流量监控图展现的信息量非常大。首先Paessler软件是一款非常强大的网络流量监控软件,不仅可以监控常规的网络设备并发现网络架构,还能够和提供标准化的数据连接接口,例如OPCUA 和MQTT,直接监控到数据状态。从图7的泄漏信息直接可以分析出,两个核心交换机连着不同的摄像头网段和SCADA IP段,甚至还将企业存在的不同的域控DCIP暴露出来。由此可见,“Gonjeshke Darande”组织入侵渗透之深,基本已经接管KSC工厂所有网络。


1656570883885811.png

图7 PRTG Network Monitor 软件


02 攻击技术分析


根据“Gonjeshke Darande”组织流出的图7,结合组织常见的攻击手段进行综合分析,不排除组织前期采用APT手段进行攻击,在其内部网络中使用“Paessler”软件漏洞进行攻击。图7为钢铁厂所使用的PRTG Network Monitor 工业监控软件,版本为2017 版 Paessler AG,存在几个 9.0 CVSS 的远程漏洞,如图8所示。组织极有可能采用Bypass代码进行绕过内部防火墙进行攻击。

1656570955505793.png

图8 PRTG Network Monitor CVE漏洞


03 攻击影响


此次攻击被定性为针对该国工业部门的最大规模袭击之一。综合分析并结合国内工厂的模式来看,此次攻击已经实际控制到了工厂的一区生产车间、二区的车间、三区的办公核心网络,基本横跨全部工厂网络。从视频显示的破坏程度来看,已经严重影响了工厂正常运营。结合这几年伊朗的粗钢产量,此攻击导致的经济损失不可估量。图9为2017-2021年的产量。


1656571028807827.png

图9 2017-2021粗钢产量(千吨)


伊朗2021年粗钢年产量为28.5百万吨,2020年粗钢年产量为29.0百万吨。伊朗钢铁出口占全球前十,占伊朗出口经济的10%,此次攻击可能直接影响伊朗的出口经济。


ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质