在工業(yè)環(huán)境下打補(bǔ)丁很難，更難的是勒索軟件導(dǎo)致生產(chǎn)流程關(guān)停。

　　卡巴斯基實(shí)驗(yàn)室的一位研究人員在周三表示，勒索軟件團(tuán)伙利用一種較新的勒索病毒“變種”，成功加密了某歐洲制造商的工業(yè)流程控制服務(wù)器，最終導(dǎo)致兩處生產(chǎn)工廠被迫關(guān)停。

　　這款新型勒索軟件被命名為Cring，今年1月開(kāi)始活躍。它利用Fortinet VPN中存在的幾個(gè)長(zhǎng)期未修補(bǔ)漏洞（官方已發(fā)布補(bǔ)丁）發(fā)動(dòng)攻擊，其中的目錄遍歷漏洞（CVE-2018-13379）允許未經(jīng)身份驗(yàn)證的攻擊者獲取會(huì)話文件中的VPN用戶名與明文密碼。

　　借助這一登陸點(diǎn)，攻擊者可以進(jìn)一步偵察情況，使用定制版Mimikatz提取服務(wù)器內(nèi)存中的域管理員憑證，最終利用Cobalt Strike框架安裝了Cring勒索軟件。為了掩蓋行跡，勒索團(tuán)伙還將Cring安裝文件偽裝成了來(lái)自卡巴斯基實(shí)驗(yàn)室或其他供應(yīng)商的安全軟件。

　　安裝完成后，該勒索軟件會(huì)鎖定由256位AES密鑰加密的數(shù)據(jù)，而后使用硬編碼形式的RSA-8192公鑰對(duì)該密鑰進(jìn)行加密。根據(jù)留下的勒索說(shuō)明，攻擊方要求受害者支付兩個(gè)比特幣，以換取解鎖數(shù)據(jù)的AES密鑰。

　　損失不大

　　根據(jù)卡巴斯基實(shí)驗(yàn)室ICS CERT小組成員Vyacheslav Kopeytsev的介紹，這家德國(guó)制造企業(yè)遭遇Cring感染的情況發(fā)生在今年第一季度。感染傳播到了該制造商生產(chǎn)線的配套數(shù)據(jù)庫(kù)服務(wù)器，結(jié)果導(dǎo)致這家制造商設(shè)在意大利的兩處工廠暫時(shí)關(guān)閉。從記錄來(lái)看，兩處工廠停運(yùn)了兩天左右。

　　Kopeytsev在博文中寫(xiě)道，“從攻擊事件的種種細(xì)節(jié)來(lái)看，攻擊方已經(jīng)認(rèn)真分析了受攻擊組織的基礎(chǔ)設(shè)施，并根據(jù)偵察階段收集的情報(bào)適當(dāng)調(diào)整了自己的基礎(chǔ)設(shè)施與工具組合。而對(duì)攻擊活動(dòng)的進(jìn)一步分析、特別是對(duì)被攻擊網(wǎng)絡(luò)進(jìn)行取證之后，我們發(fā)現(xiàn)攻擊者的加密目標(biāo)有著極強(qiáng)的針對(duì)性，專門選擇了那些會(huì)對(duì)企業(yè)運(yùn)營(yíng)造成嚴(yán)重影響的服務(wù)器?！?/p>

　　最終，響應(yīng)小組通過(guò)備份還原了大部分加密數(shù)據(jù)，但仍有部分?jǐn)?shù)據(jù)徹底丟失。受害者沒(méi)有支付任何贖金，也沒(méi)有發(fā)布任何具體損失或感染狀況報(bào)告。

　　早有建議，但未得到重視

　　2019年，研究人員們觀察到黑客團(tuán)伙開(kāi)始積極利用FortiGate VPN中曝出的安全漏洞。當(dāng)時(shí)約有48萬(wàn)臺(tái)FortiGate VPN設(shè)備接入公共互聯(lián)網(wǎng)。上周，聯(lián)邦調(diào)查局及網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)表聲明稱，作為FortiGate VPN中最嚴(yán)重的漏洞之一，CVE-2018-13379已經(jīng)引起黑客組織的關(guān)注、很可能被用于發(fā)動(dòng)后續(xù)攻擊。

　　Fortinet公司在去年11月時(shí)表示，他們檢測(cè)到“大量”仍未修復(fù)CVE-2018-13379漏洞的VPN設(shè)備。通報(bào)還提到，公司研究人員發(fā)現(xiàn)，有地下犯罪論壇正公開(kāi)出售這些漏洞設(shè)備的IP地址，也有人正在互聯(lián)網(wǎng)上大范圍掃描這些未安裝修復(fù)補(bǔ)丁的系統(tǒng)。

　　Kopevtsev強(qiáng)調(diào)，除了未能及時(shí)安裝補(bǔ)丁之外，這家德國(guó)制造商還犯下另外兩個(gè)嚴(yán)重錯(cuò)誤：未能及時(shí)更新所安裝的反病毒軟件，也沒(méi)有將敏感系統(tǒng)的訪問(wèn)權(quán)限限定在公司員工范圍。

　　過(guò)去也發(fā)生過(guò)其他針對(duì)制造業(yè)的攻擊活動(dòng)，在遭遇WannaCry勒索軟件與另一未知惡意軟件的兩輪沖擊后，本田公司先后在2019年與2020年兩度叫停生產(chǎn)運(yùn)營(yíng)。挪威鋁材料生產(chǎn)巨頭Norsk Hydro也曾在2019年遭遇勒索軟件攻擊，這次攻擊導(dǎo)致其全球業(yè)務(wù)網(wǎng)絡(luò)被迫關(guān)停、工廠癱瘓，好在IT部門第一時(shí)間介入并很快恢復(fù)了正常運(yùn)營(yíng)。

　　在工業(yè)環(huán)境中修復(fù)及重新配置設(shè)備是出了名的困難，這是因?yàn)榇蟛糠执祟愒O(shè)備必須持續(xù)運(yùn)行才能保證制造流程的順利運(yùn)轉(zhuǎn)。由安全更新與測(cè)試、或者網(wǎng)絡(luò)變更引發(fā)的生產(chǎn)線關(guān)停，往往會(huì)給企業(yè)帶來(lái)沉重的成本支出。但如果不及時(shí)行動(dòng)，勒索軟件團(tuán)伙很可能搶先出手，迫使生產(chǎn)流程陷入癱瘓。面對(duì)這個(gè)兩害相權(quán)取其輕的命題，企業(yè)必須做出艱難的選擇。