TrendMicro公司的凱爾·威爾霍伊特（Kyle Wilhoit）和史蒂芬·希爾特（Stephen Hilt）決定證明這個(gè)威脅真實(shí)可信。他們建立了一個(gè)“油罐”（GasPot，由模擬的油泵監(jiān)控系統(tǒng)組成的蜜罐）來吸引黑客并觀察其行動(dòng)。

 

Rapid7今年早些時(shí)候發(fā)布的一份研究報(bào)告啟發(fā)了這項(xiàng)工作，報(bào)告中稱，通過互聯(lián)網(wǎng)，可以訪問超過5800個(gè)未經(jīng)保護(hù)的自動(dòng)油儲(chǔ)罐。這些屬于加油站、卡車站、便利店的系統(tǒng)大多位于美國(guó)，沒有一個(gè)存在密碼保護(hù)。

 

加油泵檢測(cè)系統(tǒng)的功能各不相同，但有一些共性：控制油罐存量水平、限制溢出、監(jiān)控總體燃油庫存、調(diào)節(jié)油罐溫度。還一些系統(tǒng)會(huì)檢測(cè)汽油泄露。

 

遠(yuǎn)程攻擊者可以用幾種不同的方式利用這些控件。其一，他們可以通過偽造燃料水平過低的假象，強(qiáng)迫加油站停止運(yùn)行；其二，他們可以改變郵箱上無鉛、柴油、精品的標(biāo)志，混淆庫存；其三，他們可以修改油罐存量水平和溢出限制閾值，導(dǎo)致泄露風(fēng)險(xiǎn)。2009年波多黎發(fā)生過一起事件，由于電子化監(jiān)測(cè)系統(tǒng)失效，油罐在自動(dòng)重灌過程中溢出并爆炸，大火持續(xù)了三天。

 

研究者們建立的“油罐”模擬了Vedeer-Root公司生產(chǎn)的Guardian AST（Above-Ground Storage Tank，地面貯罐）監(jiān)測(cè)系統(tǒng)。該系統(tǒng)在過去曾遭到過真實(shí)世界的攻擊，來源可能是hacktivists小組。

 

研究人員將模擬的油泵系統(tǒng)托管在美國(guó)、英國(guó)、德國(guó)、約旦、巴西、俄羅斯和阿聯(lián)酋的服務(wù)器上，并在今年的二月到六月這五個(gè)月時(shí)間內(nèi)進(jìn)行觀測(cè)。美國(guó)的系統(tǒng)最受黑客關(guān)注。在大多數(shù)情況下，攻擊者只使用自動(dòng)掃描器來定位并偵查目標(biāo)，有幾個(gè)大膽的攻擊者走得更遠(yuǎn)，但從來沒有超越過數(shù)字涂鴉的層面。舉例而言，入侵者至少做過9次涂鴉，他們將“油罐”的名稱改成了“H4CK3D by IDC-TEAM”或者“AHAAD WAS HERE”。IDC-TEAM可能指親伊朗的黑客組織Dark Coders Team，他們以將網(wǎng)站頁面涂鴉成 “H4CK3D by IDC-TEAM”而聞名。

 

位于美國(guó)的其中一個(gè)系統(tǒng)遭受了持續(xù)兩天的分布式拒絕服務(wù)攻擊。TrendMicro指出，證據(jù)表明這很可能是敘利亞黑客軍團(tuán)所為，他們以入侵推特賬戶、惡搞網(wǎng)站聞名。

 

研究人員在前不久舉行的DefCon 23上對(duì)上述攻擊做了演示。