Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

黑客从底特律加油站偷了600加仑燃料

0
0

黑客从底特律加油站偷了600加仑燃料
一、 底特律加油站被偷约价值1800美元的600加仑燃料

在一起燃料管理系统黑客案中,窃贼从底特律加油站偷了大约价值 1800 美元的 600 加仑燃料。

骇入系统以及随后的盗窃发生在 6 月 23 日下午 1 点。 在这起事件中,两名带领 10 辆车队进入底特律马拉松加油站男子被报道了。警方对黑客的本性并不完全清楚,但他们说这两个人通过某种设备来破坏燃料管理系统,使切断燃料供应给水泵的能力丧失。

结果在一天中午 的 90 分钟内, 10 辆车,一辆接一辆地装满他们的油箱然后在没有付钱的情况下离开。这些燃气泵是预付费型,用户被要求在加油前支付汽油费。

一位当地福克斯的职员在采访时说燃料管理系统的屏幕是空白的。 “ 我试图阻止它,但它没有反应, ” 店员说。 “ 我 尝试在屏幕上阻止它,但是屏幕坏了。我试图阻止它,可毫无办法。 ”

奇怪的是,店员没有立即报警,直到他等到获得了一个应急工具包来关闭水泵。

虽然官方 可能 要一段时间来了解燃料管理系统是如何被黑客攻击的。在这起案例中,加油站使用的软件是已知的,容易被黑客攻击。在一月份,来自安全研究人员的一份报告详细描述了一个自动化系统中的多个漏洞,这些系统用于控制世界各地数千个加油站的燃料价格和其他信息。

这些漏洞包括了攻击者有能力可以关闭燃料泵、劫持信用卡支付和进入加油站网络的,以及允许攻击者改变燃料价格和盗窃汽油。

二、加油站每年因煤气欺诈损失数百万美元

大多数欺诈行为都是盗贼使用偷来的信用卡和借记卡来为车辆加油,迫使加油站的扣款。但是在美国和其他地方的加油站的所有者可能要担心一种新的欺诈行为,因为以色列的两名安全研究人员在一个自动化系统中发现了多个漏洞,这些系统用于控制世界各地数千个加油站的燃料价格和其他信息。

这些漏洞将允许攻击者关闭燃料泵、劫持信用卡支付、窃取卡号或访问后端网络,以控制监控摄像机和连接到加油站或便利店网络的其他系统。攻击者还可以简单地改变燃料价格和偷汽油。

IdoNaor ,一名卡巴斯基实验室的高级安全研究员,和前方位安全研究者 AmihaiNeiderman一起 ,在去年六月以色列一台气泵的电脑屏幕上发现了漏洞, Naor 在装满他的油箱并暴露了一个本地 IP 地址。该系统最终属于一家名为 OrPAK 系统的以色列公司,该公司生产燃料管理软件。 OrPAK 的系统被以色列的商业加油站以及军方和大公司用来跟踪他们车队的气体消耗,以确保员工和士兵不从工作车辆中吸气来为个人提供燃料。

然而OrPAK 公司不仅在以色列销售其系统,其软件也安装在 35000 多个加油站和 60 个国家的 700 万辆车上。去年, OrPak 是由吉尔巴科维德根收购的,该公司是一家总部位于北卡罗莱纳的大型燃气泵制造商和销售点系统,被用于美国和其他地区的便利店。

该漏洞是在该公司的 SITEOMAT 自动化软件,这是其商业加油站的 PyrTITE 系统及其管理车队车辆的前 HOHB 系统的一部分。

SITEOMAT 系统跟踪存储在地下储罐中的气体量,并实时监测每个罐的温度和压力。它还用于设定商业泵的燃料价格和借记卡支付,他能跟踪雇员所在的全服务泵中泵送燃料,每种车辆泵送什么种类和多少燃料,以及支付交易的总价格。

该系统具有方便的网络接口,因此一个或多个加油站的所有者可以远程访问每个站的控制。

“如果你有一个网络,一系列不同的加油站,管理人员可以登录到不同的燃油泵,看看他们使用多少燃料,更新价格,看看每一个泵每天赚多少钱,甚至每月,一周的情况,” Neiderman 在接受采访时说。

但对于加油站的主人来说,其很容易被黑客利用。黑客利用位于互联网连接设备和系统的 SUDAN 搜索引擎,研究人员能够利用连接到互联网的 OrPAK 系统在线找到数千个脆弱的加油站。

虽然 OrPAK 系统的 Web 界面应该是密码保护的,但研究人员在 OrPAK 网站上找到了一个包含默认密码的用户手册。在西班牙找到一个没有改变默认密码的系统后,他们就可以从加油站的网站下载整个文件系统,并分析 OrPAK 代码。

他们发现的第一个问题是嵌入在 OrPAK 源代码中的一个带有硬编码的用户名和密码的后门。这将允许远程黑客绕过系统前端的密码保护并访问任何 OrPAK 加油站,无论所有者是否更改了默认密码。后门给 OrPAK 网络面板提供了全面的管理权限,包括改变燃料价格和其他设置的能力。但该系统实际上不需要行政特权来改变燃料价格,研究人员发现任何有权进入该系统的人都可以擅自改变燃料价格。虽然系统跟踪日志中的价格变化,但他们发现的缓冲区溢出漏洞会让攻击者控制系统并删除所有日志,使得加油站所有者难以察觉价格变化。

在以色列的一个加油站的所有者让他们测试系统, Neiderman 和 Naor 能够远程改变每升汽油价格从 ILS 6.54 到 ILS 6.66 ( 1.91 美元到 1.95 美元)。 Neiderman 写了一个自动改变价格的脚本, Naor 在到达加油站时用手机触发了这个价格。

他们还发现, OrPAK 软件以未加密的格式存储用户信息,例如用户名和密码,并使用未签名和未加密的固件,这意味着攻击者可以用流氓软件覆盖合法的 OrPAK 软件。

并不是所有的 OPAK 加油站都直接连接到互联网。有些被保护在路由器后面,并且只能在公司内部网络上访问。但是,如果一个拥有多个加油站的公司只有一个系统连接到互联网,那么一个能够访问该系统的攻击者可以控制其他不可通过互联网访问的加油站,也可以访问连接到该网络的其他系统,例如业务系统和监视摄像机。

去年九月,研究人员联系了 OrPak 的漏洞,并在一个月后收到回复,称该公司正在分发系统的 “ 硬化 ” 版本,但自那以来,该公司几乎没有发表任何言论。在得知研究人员计划在十一月在莫斯科召开的安全会议上讨论他们的发现后,该公司要求与研究人员面谈,但会议从未发生过。

Orpak 的新母公司 GilbarcoVeeder-root 没有回应主板的置评请求。 Orpak 负责战略和营销的副总裁阿维夫 塔尔 (Aviv Tal) 不愿回答有关研究人员发现的具体漏洞是否已被修复的问题。

他在一封电子邮件中写道:“ Orpak 的首要任务是客户安全,我们非常认真地对待可能影响我们行业的不断增长的网络风险。 ”“ 当我们被告知潜在的安全风险时,我们会采取行动解决潜在的漏洞问题,联系我们的客户,并继续根据需要及时处理任何问题,以保护我们的客户。 ”

目前尚不清楚是否有人利用 Orpak 系统中的漏洞窃取燃料或以更低的价格获得燃料,但最近在俄罗斯发生的一起案件说明了这种漏洞对小偷的价值有多大。

据俄罗斯媒体 Rosbalt 上周的一篇新闻报道,俄罗斯联邦安全局 (FSB) 最近发现了一项欺诈计划,涉及一名俄罗斯黑客和几名加油站经理,他们利用黑客开发的恶意代码,从毫无戒心的客户那里偷走了价值一亿卢布的天然气。

据报道:恶意代码将购买量的 3% 至 7% 转移到一个空的地下储罐中,而燃油泵屏幕则向消费者表明所有的钱都花在了他们的汽车上。一旦地下储罐含有足够数量的改道天然气,管理人员就会从储罐中出售天然气,尽管恶意代码阻止了将这些销售记录在系统日志中。黑客与数十名加油站经理在 “ 几乎整个俄罗斯南部 ” 的地区合作,最后被抓获。他不仅通过出售他的恶意代码赚钱,而且还从重新销售虹吸天然气中分得一部分利润。加油站本身从来没有赔钱,只是那些被骗走了一满罐汽油的顾客。

2016 年, Orpak 在莫斯科开设了一家子公司,以色列研究人员去年 11 月在莫斯科的一次会议上公布了他们的研究结果,不过尚不清楚俄罗斯的骗局是否涉及 Orpak 系统还是另一个自动天然气管理系统。

审核人:yiwang 编辑:边边


Viewing all articles
Browse latest Browse all 12749