網路資安威脅
石油天然氣產業面臨的十種高風險資安威脅 (中篇)
本篇是趨勢科技「石油天然氣產業的網路資安」系列的第二篇 (第一篇在此),內容將繼續探討更多可能危害石油天然氣產業的威脅。 俄烏戰爭同樣也為石油天然氣產業帶來了威脅,我們研究團隊甚至在一份 2022 年 3 月所做的研究中發現多起由多個不同集團所發動的攻擊。在第一篇當中,我們已介紹了一家典型的石油天然氣公司如何運作,以及他們為何容易遭到網路攻擊,此外我們也說明了幾種可能中斷其營運的威脅。 本篇將繼續探討可能為石油天然氣公司帶來嚴重風險的十種威脅。
1. 勒索病毒(勒索軟體,Ransomware)
勒索病毒依然是石油天然氣公司的一大威脅,對網路犯罪集團來說,要使用勒索病毒來攻擊特定的個人是件輕而易舉的事,甚至對一些電腦知識較不豐富的駭客來說也絕非難事。最簡單方法就是到網路犯罪地下市場訂閱所謂的「勒索病毒服務」(Ransomware-as-a-service,簡稱 RaaS)。任何有心人士只要購買了這類服務,就能立即開始利用漏洞攻擊套件和垃圾郵件對數以千計的個人電腦散播勒索病毒。
我們在研究期間發現一家美國的石油天然氣公司遭到勒索病毒襲擊的案例,該公司有三台電腦及雲端備分遭到感染。遭到攻擊的電腦含有該公司的關鍵資料,整體損失金額估計達 3,000 萬美元以上。雖然我們手上並無此案例的更多細節,但我們相信駭客對這起攻擊肯定做了詳細的計畫,所以才能策略性地瞄準少數幾台電腦,而非感染整個企業。
2. 惡意程式
不同的惡意程式有不同用途,它們可以在被染的電腦與幕後操縱 (C&C) 伺服器之間提供各種功能並扮演通訊橋梁。然而對駭客集團來說,入侵目標網路與植入惡意程式只是攻擊的第一階段。基於各種原因,這些活動可能要好一陣子才會被防毒或資安軟體所偵測,有時甚至還會被自動刪除。
駭客為了避免自己的惡意程式被人發現而失去進出目標網路的唯一途徑,他們會定期更新惡意程式。而且可以的話,還會交互運用多種不同惡意程式家族,以便擁有不只一種進出目標網路的管道。
3. Webshell (網站指令介面工具)
Webshell 是駭客上傳至目標企業網站伺服器的一個小型檔案,通常以 PHP、ASP 或程式語言撰寫,駭客只需瀏覽該檔案,就能進入網站伺服器。Webshell 通常被用來上傳或下載檔案、提供指令列介面、搜刮資料庫等等。駭客有時也會利用 Webshell 來清除自己的足跡,以下是駭客會用 Webshell 完成的一些工作:駭客有時也會利用 Webshell 來清除自己的足跡,以下是駭客會用 Webshell 完成的一些工作:
- 下載或上傳檔案至已入侵的網站伺服器。
- 執行其他工具 (如登入憑證竊取程式)。
- 長期潛伏在已入侵的基礎架構內部。
- 移轉至其他伺服器,入侵更多電腦。
- 竊取資訊。
4. Cookie
Cookie 是一種網站伺服器發送至使用者端並儲存在瀏覽器資料夾的小檔案。它們提供了多種合法用途,例如:讓瀏覽器知道使用者是否已經登入 (認證 cookie) 或者儲存一些狀態資訊 (如購物車內的商品)。BKDR64_RGDOOR 後門程式會使用 cookie 來輔助惡意程式與 C&C 伺服器之間的通訊。它會在通訊流量中使用「RGSESSIONID=」這個字串,後面接著一串加密內容。所以,如果密切監控 HTTP 流量,就有助於偵測這類活動。
5. DNS 通道 (tunnelling)
惡意程式與 C&C 伺服器通訊最常使用的是 HTTP 或 HTTPS 通訊協定。但有些駭客的惡意程式會使用 DNS 通道來通訊。這項技巧是利用 DNS 通訊協定的查詢與回應封包在惡意程式與幕後操控者之間傳送資料。此時,DNS 用戶端軟體 (也就是惡意程式) 負責發送資料,資料通常會經過某種編碼,然後加入 DNS 查詢封包的主機名稱。
6.電子郵件通訊管道
「進階持續性滲透攻擊」(APT 攻擊) 駭客有時會使用這種通訊方式,主要原因有兩點:
- 電子郵件服務 (尤其是外部的網路服務) 比其他服務較少被企業嚴密監控
- 電子郵件有時還可提供額外的匿名性 (視使用的電子郵件服務而定)。
7. 零時差漏洞攻擊
駭客通常會使用已知的漏洞來發動攻擊,只有在真正必要時才會用到零時差漏洞攻擊(zero-day attack) 。基本上,使用標準的惡意程式和工具來入侵大多數網路、取得存取權限、竊取資料,這些對駭客來說並非難事。Stuxnet 案例是一個有趣的典型零時差漏洞攻擊案例,總共使用了四個不同的漏洞。沒有其他已知攻擊同時運用了這麼多未修補與未知的漏洞,駭客可說是展現了非常超高的技巧。
就在 Stuxnet 發生的兩年前,Equation 駭客集團的另一個惡意程式也曾經使用過 Stuxnet 的四個零時差漏洞的其中兩個。Equation 集團攻擊了很多不同產業,包括:石油天然氣、能源,以及核能研究。他們同樣也展現了高超的技巧,包括感染了多款主流品牌硬碟的韌體,這在沒有韌體原始碼的情況下似乎不可能辦到。
8. 手機病毒/手機惡意程式
近年來駭客使用手機惡意程式的情況越來越多,這類程式通常被用於網路犯罪,但也可用來從事網路間諜活動。Reaper 駭客集團開發了一款具備多重功能的 Android 惡意程式 (AndroidOS_KevDroid),其功能包括:啟動手機錄影或錄音、下載手機通訊錄、讀取特定檔案、讀取手機簡訊及其他資訊。
MuddyWater APT 集團使用了多個 Android 惡意程式變種 (AndroidOS_Mudwater.HRX、AndroidOS_HiddenApp.SAB、AndroidOS_Androrat.AXM 和 AndroidOS_Androrat.AXMA) 偽裝成合法應用程式。這些惡意程式變種可完全掌控被駭的 Android 手機,經由手機簡訊散播惡意連結,還可以竊取通訊錄、手機簡訊、螢幕抓圖及通話記錄。
9. 藍牙
藍牙同樣也可能遭到利用,在這方面,近期最值得關注的發展是藍牙資訊蒐集工具 (Harvester),這種案例非常罕見,但也突顯出企業應隨時關注駭客的最新動態。
10. 雲端服務
駭客可利用合法的雲端服務來傳送惡意程式與 C&C 伺服器之間的通訊而不被發現。例如某個 APT 集團所使用的 Slub 惡意程式,雖然它對該產業還未造成影響,但值得注意的是它使用了 Slack 即時通訊軟體與GitHub 軟體開發平台作為 C&C 通訊管道 (所以被命名為 Slub),而這樣的模式其他駭客集團也很容易複製。
接下來,在本系列的最後一篇,我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚攻擊背後的元凶。此外,我們也將提供一些建議來協助石油天然氣產業進一步提升網路資安。
如欲了解更多有關石油天然氣所面臨的威脅,請至此處下載我們的完整報告。