黑客组织GhostSec入侵以色列55台Berghof PLC

因“巴以冲突”，一个名为GhostSec的黑客组织声称入侵了55台Berghof可编程逻辑控制器（PLC）。以色列工业网络安全公司OTORIO对此次事件进行调查，并表示，PLC可以通过互联网访问，而且仅有简单的保护凭证，因此该漏洞才会被利用。

2022年9月4日，黑客组织GhostSec在其Telegram频道上分享了一段视频，展示了成功登录PLC管理面板的过程，以及从被入侵的控制器中转储数据，第一次公开此次入侵的细节。

网络安全公司表示，系统转储文件和屏幕截图是在未经授权下，通过控制器的公共IP地址访问后直接从管理面板导出的。

关于黑客组织GhostSec

GhostSec又名Ghost Security（幽灵安全），在2015年首次发现，具有亲巴勒斯坦背景，自称为治安组织，最初成立的目的是针对宣扬伊斯兰极端主义（ISIS）的网站。GhostSec曾宣布对乌克兰的支持，Ghostsec 通常也被称为 Anonymous 的一个分支。

2022年2月初，俄乌战争爆发后，黑客组织GhostSec集结起来支持乌克兰。自6月下旬以来，它还参加了一项针对以色列组织和企业的运动。

有部分人士认为，GhostSec转而针对多家以色列公司，可能获得了各种IoT接口和ICS/SCADA系统的访问权限。针对以色列目标的攻击活动被称为“#OpIsrael”（反抗以色列），据传始于2022年6月28日，理由是“以色列对巴勒斯坦人的持续攻击”。

GhostSec在此期间进行了多次攻击，包括针对Bezeq国际公司互联网暴露接口攻击和对科学工业中心（Matam）的ELNet电能表攻击。从这个角度来看，对Berghof PLC的入侵是GhostSec转向攻击SCADA/ICS领域的一种行动。

研究人员表示，尽管这次事件的影响不大，但这是个很好的例子，说明通过简单、适当的配置，可以轻松避免网络攻击。例如：禁止向互联网公开资产，更改默认的登录凭证，保持良好的密码策略等，可以防止黑客攻击。

同时，研究人员还表示，即使攻击并不复杂，OT基础设施的入侵也可能非常危险。GhostSec没有访问和控制HMI，也没有利用Modbus接口，这表明她们可能对OT领域不熟悉。

与此同时，黑客组织GhostSec发布了更多的截图，声称已经获得了另一个控制面板的权限，可以用来改变水中的氯气和pH值。但是，该黑客组织表示，不想伤害无辜的以色列公民，因此不会攻击水厂的工控设备。