Forescout Research – Vedere Labs 針對 OT 網路威脅的最新研究指出,工業路由器等邊界設備已成為駭客自動化攻擊的焦點,在蜜罐環境中,它們承受的攻擊量佔比高達 67%,遠超暴露的 PLC 等 OT 設備。攻擊者主要利用 SSH 和 Telnet 協議進行憑證暴力破解,顯示出針對 OT 設備和 IT 設備不加區分的攻擊特性。這項研究揭示了對暴露環境持續不斷的 OT 安全威脅,特別是長期活躍的 Chaya_005 威脅集群,證明了單純的網路邊界防禦已不足夠。企業必須迅速採取行動,強化設備安全、實施網路分段,並導入支援 IoT 和 OT 的持續監控工具,以建立有效的縱深防禦體系。
工業路由器成為主要目標的趨勢分析
Forescout Research – Vedere Labs的最新研究表明,工業路由器正成為 OT(營運技術)網路攻擊的主要目標。在為期 90 天的觀察期內,OT 邊界設備(例如路由器)佔蜜罐環境中所有攻擊的 67%,而暴露的 OT 設備(例如 PLC(可程式邏輯控制器))則佔 33%,90天蜜罐活動的分析凸顯了針對暴露環境的持續不斷的OT安全威脅。研究結果闡明了哪些設備最受攻擊者關注,並揭示了獨特的攻擊行為,從而為企業必須應對的風險提供了更清晰的洞察。分析也顯示,大多數邊界設備攻擊涉及SSH和Telnet協議,佔所有請求的72%,且主要為暴力破解身分驗證嘗試。另外24%的活動透過HTTP和HTTPS協定進行,研究人員觀察到了利用漏洞和惡意軟體下載的行為,剩餘的4%則涉及其他協議。
這項觀察證實了一個關鍵結論:OT 邊界設備,作為 OT 網路與外部世界的門戶,更容易成為自動化攻擊的目標。這不僅是因為它們通常面向網際網路,而且攻擊者知道透過這些設備可以更有效地進入內部 OT 網路。相對地,暴露在網際網路上的 PLC 雖然也是目標,但遭受的攻擊量卻較低,這可能與攻擊者傾向於利用通用協定(如 SSH/Telnet)進行大規模、無差別的自動化攻擊有關。
攻擊行為與協定偏好解析
研究深入分析了攻擊者針對邊界設備所使用的主要攻擊向量和協定偏好:
SSH 和 Telnet 暴力破解 (72%): 大多數針對邊界設備的攻擊都集中在 SSH 和 Telnet 協議,這兩種協議主要用於遠端管理。攻擊者利用自動化腳本進行大規模的暴力破解嘗試,試圖通過猜測或字典攻擊獲取設備的登入憑證。這反映了許多工業設備仍在使用預設、弱或易猜測的密碼,使得暴力破解成為一種高效的入侵手段。
HTTP/HTTPS 漏洞利用與惡意軟體下載 (24%): 約四分之一的攻擊活動是透過 Web 協議(HTTP 和 HTTPS)進行,其中觀察到攻擊者嘗試利用已知的 Web 服務漏洞,或直接在設備上下載並執行惡意軟體。這類攻擊通常更具針對性,旨在建立持續的遠端控制或進一步滲透。
Forescout 的研究人員指出,這項研究的關鍵結論是,OT 邊界設備比無意中暴露的 OT 設備更容易受到自動化攻擊。另一個重要的結論是,自動化威脅不會區分IT設備和OT設備。即使在OT設備上,也出現了一些暴力破解和漏洞利用嘗試,這些嘗試使用了IT憑證或漏洞。這表明攻擊活動往往是無差別的廣泛掃描,攻擊者並不關心目標是 IT 路由器還是工業級路由器,只要能連線並使用通用協議(如 SSH)進行驗證,就會發動攻擊。
活躍威脅集群與手動攻擊模式
儘管自動化攻擊主要鎖定邊界設備,但針對 OT 核心資產的手動攻擊威脅也持續存在。
今年9月,親俄駭客組織TwoNet攻破了我們對抗性環境(Adversary Engagement Environment,AEE)(註)中水處理蜜罐的人機介面(HMI)。駭客組織越來越多地透過手動攻擊來入侵和篡改人機介面,但其他暴露的物聯網和營運技術(OT)資產,例如IP攝影機、PLC和路由器,也經常成為攻擊目標。
註:
對抗性環境(Adversary Engagement Environment,AEE)」是一種主動防禦策略,核心概念是建立一個受控的、模擬真實系統的環境,用來引誘、觀察並分析攻擊者行為,而不是僅僅阻擋攻擊。蜜罐通常是靜態的誘捕系統,與傳統密罐不同,AEE 更強調互動性與動態調整,可模擬整個企業網絡並主動回應攻擊行為。AEE 不僅用於偵測,還用於研究攻擊模式與訓練防禦團隊。
這類手動攻擊通常在攻擊者成功獲得網路立足點後發起,目標更具破壞性,例如直接篡改 HMI 介面,干擾操作員的視圖與控制。此外,該研究發現一個被稱為 Chaya_005 的威脅集群長期活躍。這些威脅集群通常是一系列相關攻擊活動的集合,它們持續地針對暴露的 OT 資產進行偵察和攻擊,包括對 IP 攝影機、PLC 和工業路由器等 IoT 和 OT 設備的鎖定。這表明 OT 網路面臨的威脅是長期且持續的,攻擊者正在積極尋找並利用任何網路邊緣的弱點。
OT 縱深防禦與風險緩解策略
基於這些發現,企業必須轉變思維,從單純的邊界防禦轉向全面的縱深防禦策略。要保障 OT 環境的安全,企業應先加強設備安全。
1. 強化設備安全與組態
為了保障OT環境的安全,企業應先加強設備安全。這包括識別連接到網路的每個設備,檢查開放連接埠和憑證,替換預設密碼或容易被猜到的密碼,以及停用任何不必要的服務。
資產清單與可視性: 建立並維護一份完整的連網設備清單,特別是 OT 邊界和核心資產。
憑證管理: 針對工業路由器和所有 OT 設備,立即替換所有預設或弱猜測的密碼。對於 SSH/Telnet 等服務,應使用強密碼或考慮採用證書/金鑰認證。
服務最小化: 禁用設備上所有不必要的服務和開放連接埠。特別是對於網際網路暴露的邊界設備,應嚴格限制其對外開放的管理端口。
2. 實施網路分段與隔離
企業也應該對網路進行分段,避免將OT系統暴露在網路上,隔離IT、IoT和OT資產,確保只有授權的管理或工程工作站以及必要的非託管設備才能通訊。
3. 持續監控與威脅偵測
持續監控同樣重要,應使用支援IoT和OT的安全工具,這些工具能夠偵測惡意指標、標記黑名單憑證,並在未經授權的OT協議活動發生時立即識別它們。
行為異常偵測: 導入能夠解析和理解 OT 協議(如 Modbus, DNP3)的安全監控工具,用於偵測惡意指標(如異常的登入嘗試、配置更改)和未經授權的 OT 協議活動。
即時警報: 設置針對暴力破解失敗、使用黑名單憑證的嘗試,或任何試圖從非授權網段進入 OT 網路的活動的即時警報。
結論與未來展望
Forescout 的研究敲響了警鐘:OT 邊界設備,特別是工業路由器,已成為自動化攻擊者瞄準的薄弱環節。邊界設備的高攻擊佔比和攻擊者的無差別攻擊行為,要求 OT 安全團隊必須將焦點延伸到網路邊緣,並將 IT 安全最佳實踐(如強憑證管理)應用於 OT 邊產。
企業不能僅依賴單一的邊界防禦,而必須結合強化的設備安全、細粒度的網路分段,以及支援 OT/IoT 的持續監控,才能有效地抵禦 Chaya_005 類型的持續威脅,確保關鍵基礎設施的穩定和安全。
資料來源:https://industrialcyber.co/industrial-cyber-attacks/forescout-reveals-industrial-routers-become-key-targets-in-ot-network-attacks-as-chaya_005-cluster-long-active/
Forescout Vedere Labs 的最新研究揭示,工業路由器等 OT 邊界設備正成為網路攻擊的主要目標,其遭受攻擊的比例遠高於暴露的 PLC 等 OT 資產。本報告深度剖析了這一趨勢背後的攻擊行為,包括以 SSH/Telnet 為主的暴力破解嘗試,以及惡意軟體下載的利用。同時,報告將針對長期活躍的 Chaya_005 威脅集群的洞察與攻擊鏈相結合,提供企業級的 OT 網路縱深防禦和風險緩解的實用策略。