那個深夜,駭客用 15 次警報聲吵醒 Dallas(達拉斯)市民….但還有更糟的

某個週五深夜,達拉斯(Dallas)市民被全市各地響起的警報驚醒,但事實上並沒有任何需要發布警報的緊急狀況。這是因為駭客入侵了警報系統,並持續一直響了 15 回,每回持續 90 秒鐘。該市的緊急應變中心接獲了 4,400 通電話。不過相較於 Mirai殭屍網路掌控了大量 IoT 裝置發動大規模攻擊,一群不肖之徒駭入城市警報系統只不過是小巫見大巫,Mirai 病毒不讓我們了解殭屍網路上每一台裝置點滴匯聚而成的攻擊力是多麼可觀。

關鍵基礎架構面臨挑戰:IoT 與智慧城市成為攻擊目標

物聯網(IoT ,Internet of Thing)技術的普及已超乎許多人想像,各種 IoT 系統如雨後春筍般紛紛出現在各式各樣的環境,甚至跳脫了消費性領域。從企業機構到政府機關,全都開始利用智慧、聯網以及藍牙裝置來達成各種重要功能。

在這樣的條件下,也難怪一些產業權威機構紛紛提出一些相當樂觀的預測。根據 The Motley Fool 特約作者 Leo Sun 指出,Cisco 估計到了 2020 年全球將有 500 億個 IoT 裝置。而 Intel 更大膽預測 IoT 裝置數量到了 2020 年將突破 2000 億。

隨著 IoT 系統逐漸成為全球都市和企業關鍵基礎架構中的要素,IoT 對駭客將更具吸引力。如今,智慧系統已面臨駭客攻擊的嚴重威脅,因此,那些採用及支援這項技術的企業機構都應採取適當的防範措施。

許多暴露的裝置,都是因為組態設定上的錯誤或是其他安全問題

趨勢科技研究員 Numaan Huq、Stephen Hilt 和 Natasha Hellberg 針對 Shodan 進行了一番深入的研究。Shodan 是網路上的一個搜尋引擎,可搜尋所有連上公共網路的裝置,這其中也包括許多暴露在外的 IoT 裝置。我們的研究人員發現,在 Shodan 可搜尋到的裝置當中,有許多裝置之所以暴露在外,都是因為組態設定上的錯誤或是其他安全問題。事實上,研究人員甚至可以精確列出這類暴露在外的裝置在各城市的分布情況。以下是該研究發現的幾項重點,以及美國各都市的排行狀況:

  • 休士頓暴露在外的監視攝影機數量最多,比第二名的芝加哥足足多了 1,500 台以上。
  • 洛杉磯暴露在外的網站伺服器數量最多,其次是休士頓。
  • 令人訝異的是,一些較小的城鎮,如:路易斯安那州的拉法葉 (Lafayette)明尼蘇達州的聖保羅 (St. Paul) 反而是擁有最多網路資產暴露在外的政府機關,勝過一些大型城市,如:丹佛 (Denver) 和美國首府。

還不只這樣,趨勢科技在其研究報告:「美國城市不設防:產業與工業控制系統 (ICS)」(US Cities Exposed: Industries and ICS) 當中指出,急難救助服務、公共事業以及教育機構,也同樣暴露在攻擊危險中。整體而言,休士頓和拉法葉的急難救助服務暴露在外的裝置數量最多。此外,雖然教育機構普遍皆擁有相當多暴露在外的裝置,但費城 (Philadelphia) 的數量最多,有高達 65,000 台端點裝置隨時暴露於駭客攻擊的危險。

今日都市使用的智慧系統越來越多,但一些暴露在外的裝置,是否讓官員和一般百姓們陷於危險當中?
今日都市使用的智慧系統越來越多,但一些暴露在外的裝置,是否讓官員和一般百姓們陷於危險當中?

當 IoT 進入關鍵基礎架構:駭客的力量

在關鍵基礎架構 (例如急難救助系統) 當中導入最新科技,固然可讓都市獲得多重效益,因為聯網的系統不僅較為容易使用,而且在分秒必爭的關鍵時刻,作業的簡化也將發揮重大優勢。但是,如果這些系統缺乏適當的防護,很可能會落入歹徒手中,讓他們從事不當用途。

今年春天,駭客在達拉斯 (Dallas) 小試了一下身手,讓大家看到 IoT 和基礎架構的結合,如何成為歹徒的犯罪工具。根據新聞媒體 The Guardian (衛報) 的報導,某個週五深夜,達拉斯市民被全市各地響起的警報驚醒,但事實上並沒有任何需要發布警報的緊急狀況。

這是因為駭客入侵了警報系統,並且在晚上 11:42 時觸動警報。警報系統持續一直響了 15 回,每回持續 90 秒鐘,相關單位最後終於在凌晨 1:17 順利將警報解除。

達拉斯緊急事件管理主任 Rocky Vaz 表示:「我們已盡快將它關閉,因為我們得按照所有的防範措施與標準程序來作業,以免我們弄壞了這套 156 個警報器的系統。」

相關單位並未說明駭客如何入侵該系統,但認為應該是該市的網路犯罪集團所為。儘管此事件並未造成任何人員傷亡,但卻讓大家了解像這樣的關鍵系統可能遭遇何種攻擊。當晚,該市居民不僅得忍受嚇人又漫長的警報聲,而且所有相關單位都因為這緊急事件而忙翻了,該市的緊急應變中心接獲了 4,400 通電話,其中有 800 通都集中在午夜左右的 15 分鐘內。

殭屍網路掌控了大量 IoT 裝置發動大規模攻擊

跟接下來要討論的事件相比,一群不肖之徒駭入城市警報系統只不過是小巫見大巫。2016 年底,Mirai 殭屍網路的新聞開始在媒體上出現,這是一個強大的惡意程式變種,會攻擊並感染 IoT 裝置,進而利用這些 IoT 裝置來發動大規模攻擊。

資安專家 Brian Krebs 在 2016 年 11 月指出,Mirai 成功掌控了許多缺乏安全防護的 IoT 裝置並加以利用,包括安全性原本就不足的網際網路路由器和 IP 監視攝影機。事實上,Mirai 甚至強到連 Krebs 自己的網站也在當年秋天被 Mirai 殭屍網路轟炸了 620 Gpbs 的攻擊流量而斷線。

「當系統缺乏適當的防護,很可能就會遭人用於其他用途。」

沒過多久,媒體上也出現了賴比瑞亞遭到 Mirai 攻擊的新聞,這一回,該國的通訊基礎架構成了攻擊目標。

Krebs 指出英格蘭一位資安架構設計師 Kevin Beaumont 寫到:「從監控資料我們發現國內的網站因受到攻擊而斷線。此外,根據國內某電信業者的消息來源向一位記者證實,他們看到網際網路連線斷斷續續的,而且模式剛好跟攻擊活動吻合。這波攻擊非常令人擔憂,因為這顯示 Mirai 幕後歹徒擁有足以癱瘓一國內部系統的能力。」

許多其他媒體機構也開始報導這項消息,包括The Hacker NewsBBCZDNet。然而,Krebs 卻不相信 Mirai 有能力癱瘓整個國家的通訊基礎架構,因此又進行了一番更深入的研究。根據消息來源證實,Mirai 的駭客透過一個殭屍網路對賴比瑞亞的某家行動通訊業者發動一波 500 Gbps 流量的攻擊,但該公司先前建置的 DDoS 防護在攻擊開始之後不久隨即發揮作用。

雖然賴比瑞亞並未出現全國性的癱瘓,但 Mirai 殭屍網路與這次事件卻給了我們一些非常重要的啟示。Mirai 病毒不僅證明了當歹徒掌握了適當的惡意程式時,對於缺乏安全防護的 IoT 裝置有多麼危險,也讓我們了解殭屍網路上每一台裝置點滴匯聚而成的攻擊力是多麼可觀。因此,從大型系統到個人端點裝置,只要是連網的裝置都必須擁有妥善的安全防護。

除此之外,Mirai 也證明了一個城市、甚至一個國家的關鍵基礎架構對駭客來說多麼具有吸引力。像這樣針對關鍵基礎架構的攻擊其實並非特殊案例,而且未來將更加頻繁、也更加嚴重。

如需進一步詳細資訊,請參閱趨勢科技研究報告「美國城市不設防:從 Shodan 看美國暴露在網路上的資產」(US Cities Exposed:A Shodan-Based Security Study on Exposed Assets in the US)。

 

原文出處: Challenges with Critical Infrastructure: IoT, Smart Cities Under Attack