English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
网络攻击关闭了楼宇自动化系统
文章来源:奥航智讯  作者:网喵  发布时间:2021-12-27  浏览次数:552

一家楼宇自动化工程公司经历了一场噩梦般的场景:一次罕见的网络攻击将公司锁定在为办公楼客户建造的BAS之外之后,它失去了与数百个楼宇自动化系统(BAS)设备(电灯开关,运动探测器,快门控制器等)的“联系”。




这是一家位于德国的公司,它发现办公楼系统网络中四分之三的BAS设备已被神秘地清除了其“智能”,并用系统自己的数字安全密钥锁定,该密钥现在处于黑客的控制之下。为了打开建筑物中的灯(照明系统),该公司不得不使用人工服务并关闭了中央断路器。


BAS设备控制和操作办公楼中的照明和其他系统的功能,但是现在基本上被攻击者砖砌成了砖块,“一切都被删除了...完全擦除,没有额外的功能可用”。


由安全专家Peter Panholzer和Felix Eberstaller领导的Brandstetter团队从受害者的设备之一的内存中检索了被劫持的BCU(总线耦合单元)密钥。接着,工程公司对BAS设备进行重新编程,并使建筑物的照明,百叶窗,运动探测器和其他系统恢复了正常的运行。


Limes Security一直在收到有关在KNX上运行的BAS系统遭受类似类型攻击的报告,KNX是一种在欧洲广泛部署的楼宇自动化系统技术。就在上周,Limes Security与欧洲的另一家工程公司联系,该公司遭受了与德国公司非常相似的攻击类型——在KNX BAS系统上,该公司的系统也被黑客锁定在外。


“有趣的是...这里的攻击者滥用了一个本应是安全功能的东西——编程密码[BCU密钥],它可以锁定对手操纵的组件,”Panholzer说。


Panholzer说:“幸运的是,到目前为止,在我们参与的每起事件中,对于我们和(BAS)运营商来说,攻击者都为受害者各自的BAS网络中的所有组件设置了相同的密码。从理论上讲,每个组件都可能有不同的密码,这实际上会使恢复变得更加困难”。


KNX在其产品支持信息中警告说,应该为工程工具软件(ETS)谨慎部署BCU密钥安全功能——请谨慎使用此选项,如果密码丢失,这些设备应退还给制造商。设备中忘记的BCU密钥无法在外部更改或重置,因为这会使ETS中的保护毫无意义(当然,制造商知道如何做到这一点)。


但实际上,这些设备的大多数制造商都无法检索被盗的BCU密钥,Panholzer指出。这家德国工程公司最初向其BAS设备供应商寻求帮助,但供应商说他们也无法访问密钥。


Limes Security拒绝透露出于保密原因在攻击中受到打击的受害者组织。


到目前为止,还没有线索可以追溯到攻击者。BAS系统没有配置任何日志记录功能,因此攻击者本身不会留下任何数字足迹。他们的攻击没有留下赎金记录,也没有勒索软件的迹象,所以甚至不清楚攻击的最终结果(目的)是什么。


Panholzer说:“我的理论是,可能有一个或几个攻击者的来源,但因为缺乏日志,我们不确定”。


与此同时,Limes Security的研究人员已经建立了一个蜜罐系统,想看看他们是否可以引诱攻击者追捕他们的虚假BAS,以收集有关攻击来源的情报。然而,到目前为止,还没有人接受诱饵。


智能建筑系统是一个经常被遗忘的攻击媒介,它跨越物理安全和网络安全领域。到目前为止,建筑黑客攻击很少见,值得注意的黑客攻击新闻是:2016年对奥地利一家酒店的勒索软件攻击,击中了房间锁,以及2016年对芬兰两栋公寓楼供暖系统的分布式拒绝服务攻击。


Limes Security的Brandstetter几年来一直在研究BAS漏洞。2017年,他在美国黑帽公司(Black Hat USA)上发表了关于入侵BAS系统的研究。他演示了KNX和BACnet(另一种在美国广泛使用的流行BAS技术标准)如何被攻击者滥用的场景。


2018年,Forescout的Elisa Costante和她的团队编写了测试恶意软件(包括蠕虫),暴露了大约11,000个BAS设备中的软件漏洞,包括协议网关,以及用于HVAC系统和访问控制的可编程逻辑控制器。他们在2019年的S4x19上展示了他们的研究成果。


德国工程公司的BAS系统最初是通过一个不安全的UDP端口渗透的,该端口暴露在公共互联网上。


KNX中的BCU密钥用于防止对设备进行不必要的更改:要进行更改,您需要设备的密码。Limes团队要求工程公司向他们运送一些BAS设备,以便他们能够弄清楚如何恢复密钥。但他们总结说,暴力破解需要一年多的时间才能完成,因为设备的身份验证响应时间非常慢。


Panholzer解释说:“BCU密钥实际上只是一个4字节的字符串和八个字符。也许有人会认为4个字节很容易被暴力破解,但这些设备的响应时间非常慢。”


他们想出了一个计划,试图从尚未为其CPU设置保护的设备上的CPU内存中读取数据。为了缩小搜索范围,他们专注于内存中他们认为密钥可能被存储的区域,并暴力破解密码。他们基本上对设备存储器的三个不同图像进行了编程,以便他们可以找到存储地址的位置。


他解释说:“然后,我们可以将可疑区域限制为一堆较小的字节,并将其提供给暴力工具。”


下图是Limes Security研究人员使用的工具,用于从被黑客入侵的BAS设备中恢复被劫持的BCU密钥。



来源:Limes Security


四十五分钟后,他们发现了BCU钥匙。将其与他们手头的所有四台设备(来自不同供应商)相匹配,发现它可以在所有设备上工作。这家工程公司将BCU密钥输入到他们的编程软件中,并在30分钟内恢复了BAS系统并运行,结束了几周的手动控制建筑物中的照明工作和其他服务。


许多安装和管理BAS系统(如KNX)的专业人员不在IT或安全团队中。BAS系统通常是在工程师和建筑管理公司的领域内使用。IT和安全团队很少与BAS运营打交道,这可能会有问题。


结合上周联系Limes Security的欧洲建筑管理公司。受害者认为,攻击者是通过在建筑物施工阶段临时安装的IP网关进入的。Panholzer指出“IP网关应该在移交建筑物后被移除,但它被遗忘了,从未停用过。”


总部位于布鲁塞尔的 BAS 供应商 KNX 为部署其软件和网络标准的组织提供特定的安全建议。这些措施包括使用VPN进行任何基于互联网的系统连接,通过VLAN将其KNX IP骨干网与其他IP网络分段,以及在KNX IP网络和其他网络之间放置防火墙。


Panholzer说,KNX在正确保护BAS系统方面发现了良好的规范和建议,他们还希望在材料中包含更多安全意识。


独立风险研究员Stephen Cobb指出,找到暴露的BAS系统就像Shodan扫描一样简单。这可能是攻击者将注意力集中在易受攻击的建筑系统上的方式。


虽然迄今为止BAS攻击仍然相对罕见,但它们对网络犯罪分子来说可能是有利可图的。以前在ESET工作的Cobb说:“这可能是未来非常严重的犯罪利用领域。它具有像勒索软件一样的所有成分,其中的不安全碎片可以被发现和利用。”


对BAS的勒索软件和勒索攻击可以用来针对设施管理公司,或者医院。另外,还有更简单的勒索方法值得我们注意——不安全的RDP和网络钓鱼,这些正在产生足够多的受害目标。(本文出自SCA安全通信联盟,转载请注明出处。)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司