章
目
录
近期,工业安全领域出现了一款名为OrpaCrab的复杂Linux系统后门程序。它正虎视眈眈地瞄准运营技术(OT)系统,尤其是加油站基础设施管理系统,给相关领域带来了巨大的安全隐患。
一、OrpaCrab的发现及背景
2024年1月,安全研究人员在VirusTotal(一个在线病毒扫描服务平台)上发现了这个恶意程序。它来自美国,这一发现让工业网络安全领域的从业者们绷紧了神经。
OrpaCrab专门针对与ORPAK公司相关的系统。ORPAK公司在加油站和石油运输基础设施方面有着重要业务,而这个恶意软件的来源可不简单,它是从被CyberAv3ngers黑客组织入侵的Gasboy燃油管理系统中提取出来的。值得注意的是,CyberAv3ngers黑客组织之前还与利用Unitronics PLC入侵供水系统的网络攻击事件有牵连。
二、恶意程序的危害
OrpaCrab被嵌入到Gasboy的支付终端(OrPT)中,这使得攻击者获得了一系列危险的能力。他们有可能操控燃油服务,还能从客户那里窃取敏感的财务信息,这不仅会给企业带来经济损失,还严重侵犯了客户的隐私。
卡巴斯基的研究人员指出,这种攻击呈现出一种令人担忧的趋势。以往,攻击OT系统的手段往往会针对OT系统的特点来设计,但这次不同。威胁行为者并没有使用专门针对OT系统的功能,而是整合了合法流量中已使用的通信协议。这就好比把坏人混进了人群里,让检测工作变得异常困难。这种攻击方式的转变,让工业安全团队面临着前所未有的挑战。
OrpaCrab的出现表明,攻击者不用深入了解工业协议,也能入侵关键基础设施。他们利用常见的网络标准,把恶意流量隐藏在正常的通信当中,就像在一堆真钞里混入了假钞,难以分辨。而且,它造成的影响不仅仅是数据被盗,还可能导致受影响的设施服务中断,进而引发人们对工业环境中物理安全隐患的担忧。
三、OrpaCrab的技术通信机制
(一)通信协议的利用
OrpaCrab的技术复杂性体现在它的通信策略上。它利用消息队列遥测传输(MQTT)协议进行命令与控制(C2)通信。MQTT协议在物联网和工业环境中很常用,这一特点被OrpaCrab利用,它把自己的流量和正常的操作消息混在一起,就像鱼目混珠,让安全检测变得困难重重。
OrpaCrab使用三个主要的MQTT主题来开展活动:一个用于上传初始设备信息,这就像是向黑客“汇报”系统的基本情况;另一个用于接收来自控制者的指令,按照黑客的要求行事;第三个用于返回命令执行结果,让黑客知道他们的指令有没有成功执行。
(二)加密与规避监测手段
它和命令与控制(C2)服务器之间的通信,采用了AES – 256 – CBC加密算法来保护配置信息。这就好比给通信内容上了一把高级锁,让别人很难窥探其中的秘密,进一步增加了通信的隐蔽性。
此外,它还使用基于HTTPS的DNS(DoH)来解析其命令与控制(C2)服务器的域名。传统的DNS监测就像是一个“保安”,能发现一些可疑的连接,但OrpaCrab通过这种方式绕开了传统DNS监测,让自己的连接不被轻易发现。
(三)系统中的持久化与功能
一旦OrpaCrab在系统中安营扎寨,它会通过“/etc/rc3.d/”中的一个自动启动脚本来保持在系统中的持久性。这就像在系统里埋下了一颗“定时炸弹”,每次系统重启,它都能自动运行,继续为非作歹。
这个恶意软件的功能还不少,它可以执行任意命令,按照黑客的想法在系统里搞破坏;当它察觉到可能被检测到时,会自行删除,销毁证据;它还能动态重新配置其MQTT代理设置,根据安全环境的变化来调整自己,继续隐藏自己的踪迹。
面对这样的威胁,工业安全团队必须提高警惕,加强检测和防御手段,保障OT系统的安全。
