昨年末ごろにポーランドの重要インフラや製造業界隈で同時多発したサイバー攻撃に関して、ポーランドのCERTが報告書を公開した。
重要インフラや製造業が標的ということもあって、OT環境機器の攻撃に関しても言及されている。
といっても、OT環境機器ではほぼデフォルトパスワードということが侵害の原因のようだが。
OT関連機器への攻撃
Hitachi RTU560
デフォルト認証情報使用していて侵入された。単純です。
ドキュメントに記載は無かった気がするが、WebUIのデフォルトユーザネーム&パスワードは「Default」らしい。youtubeに言及された動画があった。
www.youtube.com
そして侵入された後に改ざんされたファームウェアに更新された。
改ざんされたファームウェアは、一部が0xff群に書き換えられており、起動時にその箇所を読み込もうとすると起動に失敗する。この起動失敗をトリガーさせることで正常にOTプロセスが稼働しないようにすることを狙ったようだ。
てか、Hitachi EnergyってABBだったんか。
Mikronika RTU
特定の製品名は挙がっていなかったがこんな感じと思われる。
www.mikronika.pl
sshのログイン情報がデフォルトだったとのことだが、デフォルト認証情報については公開されているものには見つからない。root:(空白)とかそん感じか?
侵入後に全ファイルを削除することで、機能停止を狙った。
Hitachi Relion 650 IED
こちらはFTPのデフォルトアカウントが有効なままであって、侵入されたと。
おそらく、マニュアル36ページに記載のあるAdministrator:Administratorがデフォルト認証情報。
650 series ANSI Operation Manual
こちらも侵入後に全ファイルを削除することで、機能停止を狙った。
Moxa Nport 6000シリーズ
たぶんこんな感じ。
www.moxa.com
マニュアル4-2より、admin:moxaがデフォルト認証情報。新しいバージョンでは、最初に管理者アカウントの認証情報をセットアップする必要があるのでデフォルトとか無いらしい。つまり、古かったということ。
NPort 6000 Series User’s Manual
管理画面アクセス後は、自身のIPアドレスを127.0.0.1に変えてアクセス不能にした。
他はIT環境でもよくある話
報告書の内容から、RTUとかIEDとかは別に外部に公開されていたというわけではなさそう。
VPNにあったとのことだが、このVPNを構成していたのは脆弱性の残存するFortiGateであったり、MFAの無いVPNアカウントが存在していた。これが侵入に関連していたと。
あとはFortiGateの構成変更だったり、Active Directoryの侵害だったり。
よくあるやつ。
もっとOT系の技術的内容が見たかった。
あんまり調べても意味なかったり、記録が残らないのだろうけど。OT系の技術的な侵害痕跡とか、どんな攻撃があったのか高度なやつがあれば知りたかったです。
でも、OTへの攻撃ってそんな単純な攻撃だけで良いんだろうなぁとも思う。
