您所在的位置: 首頁 >
安全研究 >
安全通告 >
七分之一的勒索軟件攻擊泄露關(guān)鍵OT信息
數(shù)據(jù)泄漏一直是企業(yè)關(guān)注的問題,敏感信息泄露可能導(dǎo)致聲譽(yù)受損、法律處罰、知識產(chǎn)權(quán)損失、甚至影響員工和客戶的隱私。然而很少有關(guān)于工業(yè)企業(yè)面臨的威脅行為者披露其OT安全、生產(chǎn)、運(yùn)營或技術(shù)的敏感細(xì)節(jié)的研究。
2021年,Mandiant威脅情報研究發(fā)現(xiàn),勒索軟件運(yùn)營者試圖通過在泄露網(wǎng)站上披露竊取的信息來勒索數(shù)千名受害者。這種趨勢稱之為“多方面勒索”,在短短一年內(nèi)影響了關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)生產(chǎn)部門的1,300多家組織。
為了驗證“多方面勒索”泄漏對OT構(gòu)成的風(fēng)險程度,Mandiant分析了通常利用OT系統(tǒng)進(jìn)行生產(chǎn)的行業(yè)的半隨機(jī)樣本。利用各種技術(shù)和人力資源,研究人員下載并解析了數(shù)TB轉(zhuǎn)儲數(shù)據(jù),發(fā)現(xiàn)了大量敏感的OT文檔,包括網(wǎng)絡(luò)和工程圖、操作面板圖像、第三方服務(wù)信息等。由于數(shù)據(jù)集的規(guī)模,對每個轉(zhuǎn)儲的分析是有限的,并且對少數(shù)轉(zhuǎn)儲進(jìn)行更有針對性的檢查可能會發(fā)現(xiàn)每個組織的更多文檔。
根據(jù)研究分析,在勒索軟件泄露網(wǎng)站上發(fā)布的工業(yè)組織的泄密信息中,每七個就有一個可能會泄露敏感的OT文件。訪問此類數(shù)據(jù)可使威脅行為者了解工業(yè)環(huán)境、確定最佳攻擊路徑、并設(shè)計網(wǎng)絡(luò)物理攻擊。最重要的是,泄漏中還包括的其他有關(guān)員工、流程、項目等的數(shù)據(jù),可為威脅行為者提供非常準(zhǔn)確的目標(biāo)文化、計劃和運(yùn)營狀況。
主要發(fā)現(xiàn)
2020年初,美國工業(yè)承包商Visser泄露了其客戶的技術(shù)文檔,包括航空航天和工業(yè)制造企業(yè)。一年后,一個威脅行為者在地下論壇上轉(zhuǎn)發(fā)了Doppelpaymer勒索軟件組織從拉美一家石油和天然氣組織竊取的2.3GB數(shù)據(jù),聲稱其中包含OT信息。
分析了泄漏的數(shù)據(jù)發(fā)現(xiàn),其中包括用戶名和密碼、IP地址、遠(yuǎn)程服務(wù)、資產(chǎn)標(biāo)簽、原始設(shè)備制造商(OEM)信息、操作面板、網(wǎng)絡(luò)圖等各種敏感數(shù)據(jù)。威脅行為者會在偵查期間尋找可以用來識別目標(biāo)OT網(wǎng)絡(luò)中的攻擊路徑的所有信息。
圖1 拉丁美洲某大型石油和天然氣組織遭勒索致泄漏數(shù)據(jù)
為了更好地理解這些數(shù)據(jù)泄露給OT資產(chǎn)所有者帶來的風(fēng)險,Mandiant構(gòu)建了一個大型數(shù)據(jù)集。在幾個月的時間里,網(wǎng)絡(luò)安全分析人員和數(shù)據(jù)研究人員分析了數(shù)百個泄露和收集的樣本,以找到OT文檔,并確定了至少10個包含敏感OT技術(shù)數(shù)據(jù)的轉(zhuǎn)儲。由于許多泄漏中的數(shù)據(jù)量很大,研究團(tuán)隊只對轉(zhuǎn)儲進(jìn)行了表面分析。如果有進(jìn)一步的資源投入,可能會發(fā)現(xiàn)大量額外信息。
由于資源限制或?qū)μ囟繕?biāo)感興趣,大多數(shù)威脅行為者可能會將精力集中在少數(shù)組織上。這使攻擊者能夠?qū)①Y源集中在查找每個目標(biāo)的更多信息上,這對于任何復(fù)雜的攻擊都是至關(guān)重要的。
Mandiant發(fā)現(xiàn)了超過3,000起勒索軟件運(yùn)營商泄露竊取的數(shù)據(jù),其中大約1,300起泄漏來自可能使用OT系統(tǒng)的工業(yè)部門的組織,如能源和水設(shè)施或制造業(yè)。通過瀏覽現(xiàn)成的文件列表或其他感興趣的指標(biāo),例如威脅行為者的評論或目標(biāo)子行業(yè),選擇并檢索了數(shù)百個此類樣本。
圖2 勒索攻擊的泄漏數(shù)量
初步分類后,研究人員使用定制和公開工具收集并手動分析了大約70個泄漏,發(fā)現(xiàn)七分之一的泄漏至少包含一些有用的OT信息,而其余的則包含與員工、財務(wù)、客戶、法律文件等相關(guān)的數(shù)據(jù)。
勒索軟件數(shù)據(jù)泄漏主要在暗網(wǎng)上的各種威脅行為者運(yùn)營的網(wǎng)站上共享。盡管每個威脅者的運(yùn)作方式不同,但即將泄密的信息通常會發(fā)布在黑客論壇或社交媒體上。任何可以訪問Tor瀏覽器的人都可以訪問這些站點并下載可用的轉(zhuǎn)儲文件。
圖3 勒索軟件泄露網(wǎng)站示例
下載單個泄漏信息非常簡單,但鑒于可用數(shù)據(jù)量巨大,從不同泄漏中收集多個樣本非常復(fù)雜。下載這些泄漏信息的能力取決于多種因素,例如攻擊者和下載者的基礎(chǔ)設(shè)施、數(shù)據(jù)泄露的時間、獲取文件的用戶數(shù)量、以及文件本身的質(zhì)量。
研究人員利用手動和自動文件分析從感興趣的樣本中搜尋數(shù)據(jù),查找了網(wǎng)絡(luò)和流程圖、機(jī)器接口、資產(chǎn)清單、用戶名和密碼、項目文件、以及第三方供應(yīng)商協(xié)議等。
手動分析主要通過瀏覽文件列表來識別可能存在OT相關(guān)數(shù)據(jù)的關(guān)鍵字。威脅行為者有時會發(fā)布目錄或文本文件列表,來傳播勒索數(shù)據(jù)泄露。如果沒有文件列表,則會自己創(chuàng)建一個。針對中小型轉(zhuǎn)儲使用了免費(fèi)的公開取證工具Autopsy。對于較大的轉(zhuǎn)儲則使用定制工具或本地下載文件,通過rar或7z等默認(rèn)工具構(gòu)建列表。如果無法獲取列表,則會手動瀏覽文件名。
有時,快速查看列表和關(guān)鍵字搜索就足以確定轉(zhuǎn)儲是否適合分析,但有時,文件命名約定并沒有透露太多信息。此外勒索泄露包含各種語言的數(shù)據(jù),又增加了一層復(fù)雜性。
對于中小型轉(zhuǎn)儲使用的是Autopsy,能夠分析相對較大的文件夾。該工具可以解析文件,并提供時間戳、文件類型、關(guān)鍵字、其他有用數(shù)據(jù)的摘要。研究人員還能夠使用正則表達(dá)式搜索關(guān)鍵字,以查找IP地址或用戶名等數(shù)據(jù),并快速可視化現(xiàn)有文件的.jpeg圖像。
圖4 使用Autopsy分析勒索泄漏文件
然而Autopsy很難分析更大的轉(zhuǎn)儲,解析只有幾GB的轉(zhuǎn)儲文件就需要好幾個小時,但是泄露的數(shù)據(jù)是TB級別的,因此必須構(gòu)建定制工具來可視化和分析大量數(shù)據(jù)。即使使用定制工具,仍然需要大量存儲能力和人力投資來處理數(shù)據(jù)。
在如此大量的文件中找到敏感的OT文檔并不容易。此次調(diào)查結(jié)果包括來自不同部門和地區(qū)的組織的數(shù)據(jù)。
數(shù)據(jù)泄漏的影響
勒索軟件泄露的敏感OT和網(wǎng)絡(luò)文檔可供任何人下載,包括安全研究人員、行業(yè)競爭對手或威脅行為者。最令人擔(dān)憂的是資源充足的威脅行為者,他們有能力系統(tǒng)地尋找數(shù)據(jù),以了解特定目標(biāo)。
從歷史上看,間諜活動曾幫助國家資助的組織獲取有關(guān)工業(yè)組織運(yùn)作的詳細(xì)信息。這些偵察數(shù)據(jù)支持了真實網(wǎng)絡(luò)物理攻擊的不同階段,例如2015年和2016年的烏克蘭停電和TRITON事件。
來自勒索泄露的數(shù)據(jù)可能會為老練的威脅者提供有關(guān)目標(biāo)的信息,同時減少對防御者的暴露和運(yùn)營成本。威脅者還可以根據(jù)有關(guān)受害者基礎(chǔ)設(shè)施、資產(chǎn)、安全漏洞和流程的現(xiàn)成敏感數(shù)據(jù)來選擇目標(biāo)。利用更高水平的網(wǎng)絡(luò)物理偵察數(shù)據(jù)的攻擊可能會產(chǎn)生更顯著和更精確的影響。
資源和能力有限的威脅者對大型勒索泄露數(shù)據(jù)的可見性可能會更有限。但是他們?nèi)匀豢梢蕴剿鬓D(zhuǎn)儲,以了解組織、滿足好奇心、或轉(zhuǎn)發(fā)內(nèi)容。
緩解措施
根據(jù)研究分析,在勒索軟件泄露網(wǎng)站上發(fā)布的工業(yè)組織的泄密信息中,每七個就有一個可能會泄露敏感的OT文檔。訪問此類數(shù)據(jù)可以使威脅者了解工業(yè)環(huán)境、確定最佳攻擊路徑、并設(shè)計網(wǎng)絡(luò)物理攻擊。最重要的是,泄漏中還包括的其他有關(guān)員工、流程、項目等的數(shù)據(jù),可為威脅行為者提供非常準(zhǔn)確的目標(biāo)文化、計劃和運(yùn)營狀況。
即使暴露的OT數(shù)據(jù)相對較舊,網(wǎng)絡(luò)物理系統(tǒng)的典型壽命也從20年到30年不等,這導(dǎo)致泄漏與偵察工作相關(guān)的時間比IT基礎(chǔ)設(shè)施上的暴露信息要長得多。為了預(yù)防和減輕暴露的OT數(shù)據(jù)帶來的風(fēng)險,建議應(yīng)用以下緩解措施:
● 制定并實施穩(wěn)健的數(shù)據(jù)處理策略,以確保內(nèi)部文檔受到保護(hù)。避免將高度敏感的操作數(shù)據(jù)存儲在安全性較低的網(wǎng)絡(luò)中;
● 勒索軟件入侵的受害者應(yīng)評估泄露數(shù)據(jù)的價值,以確定哪些補(bǔ)償控制有助于降低進(jìn)一步入侵的風(fēng)險;
● 更改泄露的憑據(jù)和API密鑰,考慮更改關(guān)鍵系統(tǒng)和OT跳轉(zhuǎn)服務(wù)器的公開IP地址;
● 定期進(jìn)行紅隊演習(xí),以識別外部暴露和不安全的內(nèi)部信息。
參考資源:
【1】https://www.mandiant.com/resources/ransomware-extortion-ot-docs
來源:天地和興