工业“军刀”出鞘警惕“软战争”外挂

阅读： 26

一、背景

2022年4月13日，美国CISA、DOE、NSA和FBI多个机构发布了一份联合安全公告，披露了一个专门针对工业控制系统的攻击工具。Mandiant公司将其命名为“INCONTROLLER”，Dragos公司将其命名为“PIPEDREAM”，下文中会统一使用“INCONTROLLER”。INCONTROLLER可以降低攻击者对工业知识的依赖，对多个行业的特定工业控制设备进行攻击，截止目前暂未发现任何组织被攻击或者感染。但是由于INCONTROLLER具备干扰、破坏或者潜在破坏工业过程的能力，所以还是会对拥有目标设备的工业组织构成严重的威胁。

二、工具简介

INCONTROLLER由多个模块组成，并不利用特定的漏洞，而是使用CodeSys、Modbus和OPC UA等协议的本身功能实现的一个伪造客户端来连接和攻击目标设备，本质原因是由于目前工业设备与组态软件或者SCADA软件的连接过程没有做安全的双向鉴权认证。目前INCONTROLLER包含的攻击目标有施耐德和欧姆龙PLC产品，以及OPC-UA服务，但是从本质原因来讲不排除其他厂商或者产品也会被开发出对应的伪造客户端，从而存在遭受自动化精密化攻击的风险。

根据INCONTROLLER利用的功能和PLC设备上的相关配置，攻击者可以进行如下操作：

进行网络扫描发现目标设备。
改变IP地址以与攻击工具通信或使设备原有链接无法到达。
发送Modbus协议报文（标准或私有）。
自动连接到目标PLC，使用标准的编程协议进行密码暴力破解。
上传和下载文件（包括但不限于配置、固件、应用、配方等）。
执行拒绝服务攻击，迫使用户再次验证，或使设备无法被访问。
对OPC-UA服务器进行读/写。

三、工具架构

INCONTROLLER攻击工具组成如图1及表1所示：