#CyberAv3ngers #PLC #HMI #ICS Attacks
تیم CyberAv3ngers در سالهای اخیر یکی از حملاتی که داشته است، هک کردن دستگاه های Unitronics Vision 101 صنعتی در اسرائیل است که یک تکنولوژی عملیاتی (OT) است که مامور کنترل یک فرایند اجرای صنعتی را معمولا بر عهده دارد.
این دستگاه دو مشکل امنیتی در همان بررسی اول دارد، اولی عدم وجود رمزنگاری و دوم مکانیزم احراز هویت شکننده که بعضا با رمز پیشفرض قابل دسترس بوده است.
تیم مهاجم، از طریق موتور های پایشگر شبکه مانند Shodan امکان دیدن پروتکل PCOM مختص دستگاه Unitronics را داشته است که بدون نیاز به احراز هویت امکان دسترسی بهش وجود داشته.
مهاجمین کاری که کردند این بوده که ساختار پروتکل PCOM رو شبیه سازی کرده و فرمان های مد نظر خودشون رو مستقیما به پروتکل داده اند و چون مکانیزم رمزنگاری و احراز هویتی وجود نداشته دستگاه کافی بوده در معرض اینترنت قرار میداشته تا فرمان رو دریافت و اجرا میکرده.
این Opcode های تعریف شده در پروتکل، حتی امکان نوشتن یا خواندن در حافظه PLC رو میداده است.
همچنین بواسطه CVE-2024-38434 مهاجمین امکان دور زدن پسورد بارگزاری پروژه را میداده است.
@Unk9vvN
تیم CyberAv3ngers در سالهای اخیر یکی از حملاتی که داشته است، هک کردن دستگاه های Unitronics Vision 101 صنعتی در اسرائیل است که یک تکنولوژی عملیاتی (OT) است که مامور کنترل یک فرایند اجرای صنعتی را معمولا بر عهده دارد.
این دستگاه دو مشکل امنیتی در همان بررسی اول دارد، اولی عدم وجود رمزنگاری و دوم مکانیزم احراز هویت شکننده که بعضا با رمز پیشفرض قابل دسترس بوده است.
تیم مهاجم، از طریق موتور های پایشگر شبکه مانند Shodan امکان دیدن پروتکل PCOM مختص دستگاه Unitronics را داشته است که بدون نیاز به احراز هویت امکان دسترسی بهش وجود داشته.
مهاجمین کاری که کردند این بوده که ساختار پروتکل PCOM رو شبیه سازی کرده و فرمان های مد نظر خودشون رو مستقیما به پروتکل داده اند و چون مکانیزم رمزنگاری و احراز هویتی وجود نداشته دستگاه کافی بوده در معرض اینترنت قرار میداشته تا فرمان رو دریافت و اجرا میکرده.
این Opcode های تعریف شده در پروتکل، حتی امکان نوشتن یا خواندن در حافظه PLC رو میداده است.
همچنین بواسطه CVE-2024-38434 مهاجمین امکان دور زدن پسورد بارگزاری پروژه را میداده است.
@Unk9vvN
#Mr_Soul #CyberAv3ngers #IRGC
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت مختصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، که میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
@Unk9vvN
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت مختصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، که میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
0_0" است، و کلید IV آن نیز "1_0" است.7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
@Unk9vvN