無線電遙控器潛藏5大攻擊手法

隨著企業操作科技（OT）自動化的程度越來越高，原先封閉的環境可能為此與IT環境和網際網路連接，再加上駭客攻擊的門檻逐年降低，已非高不可攀。在這樣的態勢下，原先大家普遍認為，長年持續運作的操作科技，理應不致遭遇到資安威脅，實際上卻可能潛藏了相當嚴重的漏洞。

而這樣的威脅，不只各資安廠商的年度報告中都特別提及，今年的臺灣資安大會上，有許多專家也表示他們的看法，其中不少是關注在操作科技的環境裡，裝置長期缺乏修補資安漏洞，以及操作科技環境缺乏有關管理的議題。不過，除了操作科技的控制設備裡，含有長年未修補的漏洞之外，能夠用來遠端操作的無線電（RF）遙控器，其實同樣隱含被駭客濫用的危機。自2018年底，趨勢科技資深威脅研究員Philippe Lin就在HITCON Pacific大會上，揭露如何發現這種遙控器的漏洞，而於今年3月舉辦的臺灣資安大會，他繼續強調無線電遙控器潛在的資安問題，並且從訊號濫用到韌體的供應鏈攻擊，指出可能存在的5種弱點。

圖中由左至右依序為2款4G路由器，以及工業用的無線電遙控器，隨著操作科技與網際網路連接的情況變得普遍，駭客可透過左邊或中間的路由器，對遙控器進行攻擊。2款4G路由器的差異在於，左邊為Arduino開發板加工而成，較中間現成產品的成本更低。（攝影／周峻佑）

無須自行設計並製作作案工具，犯案門檻大幅降低

這裡所提到的無線電遙控器，在工業環境中運用相當廣泛，包含天車、移重式升降機、水泥幫浦、農業自動化耕作、自動化碼頭、採礦，以及工業自動化等環境中。Philippe Lin說，他們粗估這種工業用的無線電遙控器，每年約有至少2,000萬美元的市場，一旦被駭客盯上，發動相關攻擊，影響的範圍便難以估計。

由於過往開發工業用的遙控器設備，都是從硬體開發的方式著手，建置成本極高，駭客想要發動攻擊，偽造能控制受害設備的第2個遙控器，也同樣要付出相當高的代價。雖然技術上或許可以做得到，但駭客必須面臨到高昂的前置成本，而且在開發前述的遙控器上，也存在相當程度的技術門檻。

不過，無線電的技術這幾年發展下來，情勢已經出現了明顯的變化──自從2008年開始，有了軟體定義無線電（SDR）設備之後，駭客只要透過現成的裝置，就能進行攻擊，不需要自行從頭開發、製作專門的工具。Philippe Lin表示，像是提供研究無線電專用的USB裝置YardStick1，駭客就能拿來濫用，而這款裝置只要99美元就能取得。

而現在，隨著4G網路的應用極為普遍，加上創客文化和開發板的盛行，Philippe Lin的研究團隊實驗過程中，進一步利用開發板，拼湊出小型的4G中繼裝置RFQuack，外觀類似外接式的USB無線網路卡。駭客若是將這種裝置刻意擺設在工廠角落，就有機會從遠端下達攻擊命令。而他們組裝這款裝置的費用，僅為40美元，不光比上述的YardStick1更便宜，還能讓駭客在攻擊的過程中，不需到現場就能操作。

相較於20年前，駭客必須從設計到製造，自行做出專屬的硬體，如今卻只要使用YardStick1等現成裝置，就可以發動攻擊，門檻可說是非常低廉。沒有隨之演進的操作科技安全，在上述駭客攻擊手法已經出現大幅變化下，顯得特別危險，同時，Philippe Lin所屬研究團隊也發現，即使不甚複雜的攻擊手法，像是重放攻擊，至今卻仍然能夠大肆濫用。

無線電訊號濫用可假傳指令，甚至帶來工安危險

這裡所提到的重放攻擊，就是駭客將遙控器所發出的無線電訊號複製，再用來對被控端下達命令。Philippe Lin說，理論上，遙控器的製造商在設計設備時，應該要納入滾碼機制，來保護發送的無線電訊號不能被直接盜用，遙控器雖然下達了多次相同的指令，但實際上每組電波的封包內容都會不同。假如駭客側錄了其中一次的訊號，日後想要用來重放攻擊，由於與接收器認為應該收到的訊號不符，攻擊者便無法操作被控端。然而，在Philippe Lin實驗取得的7個廠牌遙控器中，竟全部都能濫用重放攻擊手法，向被控端下達特定的命令。

不只是前述的重放攻擊，即使是對於擁有滾碼防護機制的遙控器設備，駭客也可能進一步逆向工程破解，偽造出指令訊號；若是結合這兩種型態的攻擊手法，則可以不斷發送緊急停止的命令，而造成無法控制的情況。

濫用緊急停止命令的手法又可再區分成兩種，一種是發送大量指令，演變成阻斷服務（DoS）攻擊；另一種則是針對設備韌體設計不良，所造成的失控情形，在操作員按下緊急停止按鈕之後，駭客仍舊可向受控設備下達各種命令，導致更嚴重的工安事故。

再者，遙控器與接收器的配對，同樣有機會被拿來濫用，這種手法稱為惡意配對，使得原本的遙控器失去控制的能力，進而成為另一種發動攻擊的管道。

但Philippe Lin指出，上述的4種攻擊，最大的限制還是要在廠房附近發動，但若要變成遠端操作的網路攻擊，其實並不難。例如，駭客使用極為不起眼的小型4G路由器，就可以在遠端進行攻擊，而且在工廠或是工地裡，在暗處擺放這種路由器通常難以被發現。

除了無線訊號本身的操控之外，駭客可間接透過燒錄自訂韌體的電腦，進行供應鏈攻擊，使得設備更新韌體之後，有可能變得錯亂而無法正常運作。

防治無線電遙控器成攻擊目標，有待從開發流程就納入資安

針對上述所提及的攻擊，Philippe Lin說，重放攻擊與緊急停止的阻斷服務攻擊，可透過更新具有滾碼機制的韌體解決，尤其是一般市面上的汽車鑰匙或是鐵捲門控制器，都提供這種機制，他認為，廠商要在遙控器韌體加入相關功能的難度並不高。不過，由於必須一臺一臺更新，因此真正的困難之處，恐怕是在召回待更新韌體的遙控器。

而對於駭客偽造指令和惡意配對的手法，則是因為遙控器加密的強度不足，甚至是缺乏有關機制，理論上也是要升級韌體，但Philippe Lin指出，有些設備本身沒有加密演算法所需的運算晶片，因此連帶也要升級硬體，導致成本大幅增加。

至於供應鏈攻擊，除了要保護修改韌體的電腦，加強端點防護，也牽涉嵌入式韌體安全。但由於這些遙控器一旦被發現漏洞，往往不易修補，Philippe Lin指出，資訊安全要從設備的設計與採購的時候，就納入考量，廠商和企業的資安意識就很重要。

無線電設備資安研究不易，有待製造商良性互動

其實，有別於許多資安研究，無線電遙控器領域的門檻，其實相當的高。但在這樣的情勢下，他們委由漏洞獎勵計畫組織Zero Day Initiative（ZDI）通報製造商，得到的反應卻可能相當消極，認為資安人員在找麻煩。因此，Philippe Lin也揭露他們研究過程裡，與一般資安研究的差異，希望廠商接獲漏洞通報時，能夠認真看待並予以處理。

Philippe Lin表示，在他們研究的過程中，首先，資安人員會面臨有關電信法規的要求，必須事先向行政院國家通訊傳播委員會（NCC）報備才行，否則很有可能會面臨觸法的危險。再者，則是在模擬環境上，往往無法直接採用實際的工業設備，因此在研究的過程裡，他們將無線電遙控器與起重機模型連接。

企業看待資安漏洞的通報，還是要採取積極因應的態度，這些資安研究才能促成更安全的設備。