【精選威脅情資】新型網路攻擊工具 INCONTROLLER 之技術分析

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

本報告分析一支新發現於烏俄戰爭期間的網路攻擊工具 ーー INCONTROLLER。該工具主要針對工業控制系統，目前尚未被發現應用於現實攻擊中。然而有鑑於它強大的攻擊力和破壞性，知名資安大廠 Mandiant 的研究人員模擬了三種攻擊情境，包括攻擊工控系統中的控制器，使控制器崩潰、產線停擺；重寫控制器的功能，使設備物理性的損壞；關閉安全措施，使人員傷亡。無論何種情境皆能造成工廠極大的損失，因此值得特別注意。

‍

分析師觀點

烏俄戰爭以來，多起網路攻擊都是針對工控系統發起。不論是損壞設備，抑或是中斷通訊，都是駭客利用網路戰去影響現實戰場的方法之一。如今，疑似由俄羅斯開發的新型攻擊工具也隨之出現，值得觀察接下來會不會又有大規模的工控攻擊事件發生。

描述

知名資安廠商 Mandiant 與大型工控系統開發商施耐德電氣 (Schneider Electric) 於 2022 年年初，分析了一包針對工控系統的攻擊工具包，並命名為 INCONTROLLER（又稱為 PIPEDREAM）。該組攻擊工具被懷疑由俄羅斯贊助開發，其功能包含中斷、修改、物理破壞工控系統等。

技術分析

INCONTROLLER 這組攻擊工具包中包含了三個工具：TAGRUN、CODECALL與 OMSHELL。以下分別分析：

‍

‍

• TAGRUN

TAGRUN 具有掃描和枚舉 OPC UA 服務器的能力，可用於偵察。OPC 本身是通訊協定伺服器，負責從工業環境的工業控制系統資產中收集和存儲數據。而存取這些數據可以為攻擊者提供生產系統和控制過程的詳細概述。該工具可能是為了偵察而開發的，但它也可以寫入和更改內容。

• CODECALL

CODECALL 會使用 Modbus 協議與工業控制設備進行通訊，這可能使駭客能夠與來自不同製造商的設備進行互動。此外，該工具也支援 Codesys 協定，得以與施耐德電氣開發的控制器 Modicon M251 (TM251MESE) PLC 通訊、互動、掃描和攻擊，並可以利用特定的封包使設備損壞或發動DDoS攻擊等。Mandiant 的研究人員懷疑該工具也適用於施耐德電氣的 Modicon M221 Nano PLC 和 Modicon M258 PLC。

• OMSHELL

OMSHELL 的使用時機在於取得 Omron PLC 的 shell 存取權限後。其支援的設備包括 Omron NX1P2、NJ501、R88D-1SN10F-ECT，以及可能來自 NJ/NX 產品線的其他類似設備。該工具主要使用 HTTP 協議運行，但它也會利用 Omron 專有的 FINS/UDP 協議進行掃描和設備識別。取得權限後，攻擊者可以在 PLC 上執行任意指令、清除設備上的所有資料或終止任意程式。Mandiant 的研究人員認為該工具是由俄羅斯贊助開發。原因在於，自 2014 年以來，俄羅斯已經使用過多個為ICS定制的惡意程式，包含 PEACEPIPE、BlackEnergy2、INDUSTROYER、TRITON 和 VPNFILTER 等。另外，INCONTROLLER 的功能還類似於俄羅斯先前於破壞性網路攻擊中使用的惡意程式。雖然無法將 INCONTROLLER 與先前追蹤的任何組織聯繫起來，但 Mandiant 認為該工具的確符合俄羅斯破壞性網絡攻擊的歷史紀錄、以及目前其入侵烏克蘭、回應歐美威脅的需求。

緩解措施

本報告所分析之攻擊工具包分工仔細、功能完全，針對不同環節運用不同的攻擊技術，對此，相關機構可以分別實施緩解措施。

‍

針對 OPC UA 伺服器的緩解措施

1. 對 IT 和 OT 環境的網絡進行適當分割，防止攻擊者從 IT 網絡橫向移動到 OT 環境。
2. 列出白名單（項目包含主要／從屬設備、行為模式和命令），以便建立安全基線並借助網絡監控、檢測異常。
3. 安裝具有深度數據包檢查功能的工業防火牆或工業控制系統的入侵偵測 (Intrusion Detection System, IDS)、入侵防護 (Intrusion Prevention System, IPS) 產品。
4. 監控和阻止由外部到 OPC UA 的流量。
5. 啟用數據軌跡 (Audit log)。
6. 定期審查數據軌跡以檢測不一致或惡意的連線、通訊協定安全設定、配置更改和不正常的使用者通訊。
7. ‍

針對施耐德電氣產品的緩解措施

1. 可參考施耐德電氣自行提出的緩解措施，如安裝防火牆、停用不需要或無用的通訊埠或通訊協議等。

‍

針對Omron產品的緩解措施

1. 工控設備開發商 Omron 也發表了一項安全聲明，整理已知安全漏洞、受影響的範圍與緩解措施，其緩解措施包含針對外部網路流量、網路存取進行識別與過濾。

參考資料

1. ‍MANDIANT. “INCONTROLLER: New State-Sponsored Cyber Attack Tools Target Multiple Industrial Control Systems” Accessed May 5, 2022.‍
2. Schneider Electric. “Recommended Cybersecurity Best Practices” Accessed May 5, 2022.‍
3. Omron. “Vulnerabilities in Omron CS and CJ series CPU PLCs” Accessed May 5, 2022.