安全動(dòng)態(tài)

工控攻擊!黑客組織GhostSec 稱入侵以色列55 家Berghof PLC

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-09-15    瀏覽次數(shù):
 

“巴以沖突”在網(wǎng)絡(luò)上依然硝煙彌漫。當(dāng)?shù)貢r(shí)間912日消息,一個(gè)名為GhostSec的黑客組織聲稱入侵了以色列55臺(tái)Berghof可編程邏輯控制器(PLC)。該網(wǎng)絡(luò)攻擊行為被視為解放巴勒斯坦運(yùn)動(dòng)的組成部分。

以色列工業(yè)網(wǎng)絡(luò)安全公司OTORIO對(duì)此次事件進(jìn)行了深入調(diào)查,該公司表示,PLC可以通過(guò)互聯(lián)網(wǎng)訪問(wèn),而且僅有簡(jiǎn)單的保護(hù)憑證,因此該漏洞才得以實(shí)現(xiàn)。

94日,GhostSec在其Telegram頻道上分享了一段視頻,展示了成功登錄PLC管理面板的過(guò)程,以及從被入侵的控制器中轉(zhuǎn)儲(chǔ)數(shù)據(jù),首次公開(kāi)此次入侵的細(xì)節(jié)。

安全公司表示,系統(tǒng)轉(zhuǎn)儲(chǔ)文件和屏幕截圖是在未經(jīng)授權(quán)下,通過(guò)控制器的公共IP地址訪問(wèn)后直接從管理面板導(dǎo)出的。

 

巴勒斯坦黑客組織GhostSec

GhostSec又名Ghost Security(幽靈安全),于2015年首次發(fā)現(xiàn),具有親巴勒斯坦背景,自稱為治安組織,最初成立的目的是針對(duì)宣揚(yáng)伊斯蘭極端主義(ISIS)的網(wǎng)站。

今年2月初,俄烏戰(zhàn)爭(zhēng)爆發(fā)后,該組織立即集結(jié)起來(lái)支持烏克蘭。自6月下旬以來(lái),它還參加了一項(xiàng)針對(duì)以色列組織和企業(yè)的運(yùn)動(dòng)。

 

Cyberint714日指出:“GhostSec轉(zhuǎn)而針對(duì)多家以色列公司,可能獲得了各種IoT接口和ICS/SCADA系統(tǒng)的訪問(wèn)權(quán)限。

針對(duì)以色列目標(biāo)的攻擊活動(dòng)被稱為“#OpIsrael”(反抗以色列),據(jù)傳始于2022628日,理由是以色列對(duì)巴勒斯坦人的持續(xù)攻擊。

在此期間,GhostSec進(jìn)行了多次攻擊,包括針對(duì)Bezeq國(guó)際公司互聯(lián)網(wǎng)暴露接口攻擊和對(duì)科學(xué)工業(yè)中心(Matam)的ELNet電能表攻擊。

從這個(gè)角度來(lái)看,對(duì)Berghof PLC的入侵是GhostSec轉(zhuǎn)向攻擊SCADA/ICS領(lǐng)域的一種行動(dòng)。

研究人員表示:“盡管這次事件的影響很低,但這是一個(gè)很好的例子,說(shuō)明通過(guò)簡(jiǎn)單、適當(dāng)?shù)呐渲?,可以輕松避免網(wǎng)絡(luò)攻擊,例如禁止向互聯(lián)網(wǎng)公開(kāi)資產(chǎn),保持良好的密碼策略,更改默認(rèn)的登錄憑證,可以很好地阻止黑客入侵?!?span>

研究人員解釋說(shuō),即使攻擊并不復(fù)雜,OT基礎(chǔ)設(shè)施的入侵也可能非常危險(xiǎn)。GhostSec沒(méi)有訪問(wèn)和控制HMI,也沒(méi)有利用Modbus接口,這表明她們可能對(duì)OT領(lǐng)域不熟悉。

與此同時(shí),GhostSec繼續(xù)發(fā)布更多截圖,聲稱已經(jīng)獲得了另一個(gè)控制面板的權(quán)限,可以用來(lái)改變水中的氯氣和pH值。但其表示,出于為以色列公民安全考慮,不會(huì)攻擊水廠的工控設(shè)備。

 
 

上一篇:Google 和 Meta 因非法收集個(gè)人信息被韓國(guó)罰款千億韓元

下一篇:2022年9月15日聚銘安全速遞