网络攻击关闭了楼宇自动化系统

Posted 2022-01-18 宛如清风

一家楼宇自动化工程公司经历了一场噩梦般的场景：一次罕见的网络攻击将公司锁定在为办公楼客户建造的BAS之外之后，它失去了与数百个楼宇自动化系统（BAS）设备（电灯开关，运动探测器，快门控制器等）的“联系”。

这是一家位于德国的公司，它发现办公楼系统网络中四分之三的BAS设备已被神秘地清除了其“智能”，并用系统自己的数字安全密钥锁定，该密钥现在处于黑客的控制之下。为了打开建筑物中的灯（照明系统），该公司不得不使用人工服务并关闭了中央断路器。

BAS设备控制和操作办公楼中的照明和其他系统的功能，但是现在基本上被攻击者砖砌成了砖块，“一切都被删除了...完全擦除，没有额外的功能可用”。

由安全专家Peter Panholzer和Felix Eberstaller领导的Brandstetter团队从受害者的设备之一的内存中检索了被劫持的BCU（总线耦合单元）密钥。接着，工程公司对BAS设备进行重新编程，并使建筑物的照明，百叶窗，运动探测器和其他系统恢复了正常的运行。

Limes Security一直在收到有关在KNX上运行的BAS系统遭受类似类型攻击的报告，KNX是一种在欧洲广泛部署的楼宇自动化系统技术。就在上周，Limes Security与欧洲的另一家工程公司联系，该公司遭受了与德国公司非常相似的攻击类型——在KNX BAS系统上，该公司的系统也被黑客锁定在外。

“有趣的是...这里的攻击者滥用了一个本应是安全功能的东西——编程密码[BCU密钥]，它可以锁定对手操纵的组件，”Panholzer说。

Panholzer说：“幸运的是，到目前为止，在我们参与的每起事件中，对于我们和（BAS）运营商来说，攻击者都为受害者各自的BAS网络中的所有组件设置了相同的密码。从理论上讲，每个组件都可能有不同的密码，这实际上会使恢复变得更加困难”。

KNX在其产品支持信息中警告说，应该为工程工具软件（ETS）谨慎部署BCU密钥安全功能——请谨慎使用此选项，如果密码丢失，这些设备应退还给制造商。设备中忘记的BCU密钥无法在外部更改或重置，因为这会使ETS中的保护毫无意义（当然，制造商知道如何做到这一点）。

但实际上，这些设备的大多数制造商都无法检索被盗的BCU密钥，Panholzer指出。这家德国工程公司最初向其BAS设备供应商寻求帮助，但供应商说他们也无法访问密钥。

Limes Security拒绝透露出于保密原因在攻击中受到打击的受害者组织。

到目前为止，还没有线索可以追溯到攻击者。BAS系统没有配置任何日志记录功能，因此攻击者本身不会留下任何数字足迹。他们的攻击没有留下赎金记录，也没有勒索软件的迹象，所以甚至不清楚攻击的最终结果（目的）是什么。

Panholzer说：“我的理论是，可能有一个或几个攻击者的来源，但因为缺乏日志，我们不确定”。

与此同时，Limes Security的研究人员已经建立了一个蜜罐系统，想看看他们是否可以引诱攻击者追捕他们的虚假BAS，以收集有关攻击来源的情报。然而，到目前为止，还没有人接受诱饵。

智能建筑系统是一个经常被遗忘的攻击媒介，它跨越物理安全和网络安全领域。到目前为止，建筑黑客攻击很少见，值得注意的黑客攻击新闻是：2016年对奥地利一家酒店的勒索软件攻击，击中了房间锁，以及2016年对芬兰两栋公寓楼供暖系统的分布式拒绝服务攻击。

Limes Security的Brandstetter几年来一直在研究BAS漏洞。2017年，他在美国黑帽公司（Black Hat USA）上发表了关于入侵BAS系统的研究。他演示了KNX和BACnet（另一种在美国广泛使用的流行BAS技术标准）如何被攻击者滥用的场景。

2018年，Forescout的Elisa Costante和她的团队编写了测试恶意软件（包括蠕虫），暴露了大约11，000个BAS设备中的软件漏洞，包括协议网关，以及用于HVAC系统和访问控制的可编程逻辑控制器。他们在2019年的S4x19上展示了他们的研究成果。

德国工程公司的BAS系统最初是通过一个不安全的UDP端口渗透的，该端口暴露在公共互联网上。

KNX中的BCU密钥用于防止对设备进行不必要的更改：要进行更改，您需要设备的密码。Limes团队要求工程公司向他们运送一些BAS设备，以便他们能够弄清楚如何恢复密钥。但他们总结说，暴力破解需要一年多的时间才能完成，因为设备的身份验证响应时间非常慢。

Panholzer解释说：“BCU密钥实际上只是一个4字节的字符串和八个字符。也许有人会认为4个字节很容易被暴力破解，但这些设备的响应时间非常慢。”

他们想出了一个计划，试图从尚未为其CPU设置保护的设备上的CPU内存中读取数据。为了缩小搜索范围，他们专注于内存中他们认为密钥可能被存储的区域，并暴力破解密码。他们基本上对设备存储器的三个不同图像进行了编程，以便他们可以找到存储地址的位置。

他解释说：“然后，我们可以将可疑区域限制为一堆较小的字节，并将其提供给暴力工具。”

下图是Limes Security研究人员使用的工具，用于从被黑客入侵的BAS设备中恢复被劫持的BCU密钥。

 来源：Limes Security

四十五分钟后，他们发现了BCU钥匙。将其与他们手头的所有四台设备（来自不同供应商）相匹配，发现它可以在所有设备上工作。这家工程公司将BCU密钥输入到他们的编程软件中，并在30分钟内恢复了BAS系统并运行，结束了几周的手动控制建筑物中的照明工作和其他服务。

许多安装和管理BAS系统（如KNX）的专业人员不在IT或安全团队中。BAS系统通常是在工程师和建筑管理公司的领域内使用。IT和安全团队很少与BAS运营打交道，这可能会有问题。

结合上周联系Limes Security的欧洲建筑管理公司。受害者认为，攻击者是通过在建筑物施工阶段临时安装的IP网关进入的。Panholzer指出“IP网关应该在移交建筑物后被移除，但它被遗忘了，从未停用过。”

总部位于布鲁塞尔的 BAS 供应商 KNX 为部署其软件和网络标准的组织提供特定的安全建议。这些措施包括使用VPN进行任何基于互联网的系统连接，通过VLAN将其KNX IP骨干网与其他IP网络分段，以及在KNX IP网络和其他网络之间放置防火墙。

Panholzer说，KNX在正确保护BAS系统方面发现了良好的规范和建议，他们还希望在材料中包含更多安全意识。

独立风险研究员Stephen Cobb指出，找到暴露的BAS系统就像Shodan扫描一样简单。这可能是攻击者将注意力集中在易受攻击的建筑系统上的方式。

虽然迄今为止BAS攻击仍然相对罕见，但它们对网络犯罪分子来说可能是有利可图的。以前在ESET工作的Cobb说：“这可能是未来非常严重的犯罪利用领域。它具有像勒索软件一样的所有成分，其中的不安全碎片可以被发现和利用。”

对BAS的勒索软件和勒索攻击可以用来针对设施管理公司，或者医院。另外，还有更简单的勒索方法值得我们注意——不安全的RDP和网络钓鱼，这些正在产生足够多的受害目标。（本文出自SCA安全通信联盟，转载请注明出处。）