下载掌阅APP,畅读海量书库
立即打开
工业控制系统近年来频繁受到攻击。从2002年到2021年部分重大的工业控制系统安全事件如图1-11所示。安全事件趋势一方面凸显了ICS的脆弱性,另一方面展现了从ICS专有病毒、定向攻击事件,到勒索病毒类攻击的态势变化。ICS安全不仅涉及相关关键基础设施,而且关乎各行业的各个生产制造企业。
图1-11 工业控制系统安全事件
下面对其中5例攻击事件进行简单介绍。
2010年10月,国际多家媒体就震网(Stuxnet)病毒对伊朗核电站的攻击事件进行了全面报道。这个计算机病毒是计算机历史上首个实现物理精准打击的病毒。Stuxnet病毒自2010年6月开始蔓延,到9月已有4.5万个网络和相关设备受到感染,其中主要的感染地点是伊朗,其次是印度和印尼。据报道,该病毒成功破坏了约1000台伊朗核设施中用于铀235提炼的离心机,使伊朗核计划至少推迟了两年。Stuxnet病毒利用核电厂对U盘使用的安全漏洞成功进入了目标系统,并利用微软Windows系统中的5个漏洞(其中4个是0day漏洞)在内网传播。此外,它还利用西门子视窗控制中心的2个0day漏洞实施破坏性攻击。攻击者通过修改西门子PLC所连接的变频器参数使离心机超负荷运转,并通过中间人攻击欺骗监控系统,造成离心机的损坏。零时差攻击又称0day漏洞,指的是一旦发现安全漏洞,就会立刻被不当使用。简单来说,是指在发布安全补丁和曝光漏洞当天,就会涌现相关的恶意程序。这类攻击一般呈现显著的破坏性和紧急性。
震网事件发生之前,人们普遍认为工业控制网络与传统IT网络是物理隔离的,因此传统IT网络中的计算机病毒不会对工业控制系统产生影响。这次事件引起了人们对于工业控制系统安全性的高度关注,使人们认识到即使是物理隔离的专用局域网也不是绝对安全的。从此以后,社会各界甚至国家都开始高度重视工业控制系统的安全性。可以说,震网事件在工业控制系统安全领域具有里程碑式的意义。
2015年12月23日,一个网络攻击入侵了乌克兰电力部门。这次攻击影响了约23万用户,三个区域的电力控制系统瘫痪,停电时间长达6个小时,直到工作人员进行手动操作才使供电恢复正常。在攻击发生前几个月,黑客向电力厂发送了钓鱼邮件,邮件内容平淡无奇,但附件中的Excel文件却携带着宏病毒。当用户允许加载宏时,宏病毒便将黑色能量(BlackEnergy)带入内网。BlackEnergy是黑客常用的攻击工具,其支持多种插件,可被看作一种恶意软件的市场,黑客可以利用它执行各种攻击行为。在这次事件中,黑客利用BlackEnergy远程登录、收集用户名和密码、采集VPN凭证,并安装额外的后门软件,最终在乌克兰电网中建立了一个巨大的僵尸网络。攻击者获得了SCADA系统的控制权限后,通过特定方法发布断电指令造成停电,并释放了KillDisk模块以破坏数据来延缓系统恢复。
与震网事件相比,乌克兰电网攻击事件没有使用漏洞进行入侵,攻击成本相对较低。黑客无须利用繁杂的攻击方式,也无须全面了解业务系统的运行流程就能对工控系统产生影响。
台积电在2018年8月3日晚上被勒索软件袭击,造成新竹科学园区的营运总部和12英寸晶圆厂的所有生产制造中断。8月6日,台积电官方才宣布重新开始正常的生产制造活动。据媒体披露,勒索病毒WannaCry是这次入侵中采用的工具,推测遭受感染的原因或许是未停用Windows 7系统上的445端口,或未安装最新的补丁。这造成了WannaCry病毒在不同生产制造线上快速蔓延,导致计算机蓝屏、各类文档和数据库被锁定,以及设备无法正常运行或重复开机。该公司的发言人表示,由于停工持续了三天,直接致使第三季度收入减少3%。先前对该季度收入的估计为600亿,这意味着第三季度的收入减少了18亿。
2021年2月,佛罗里达州奥尔兹马尔的一处水处理基础设施遇袭。执法机关指出,水处理工厂系统的访问权限被攻击者顺利获取,然后攻击者尝试把商业和居民水源中的氢氧化钠浓度从100PPM提高到1100PPM,从而给公众带来危害。通过运用工厂内工人一直使用的TeamViewer远程控制和监控系统,这起攻击得以执行。通过密码分享等不当的安全手段,攻击者取得了对TeamViewer的访问权限,并实施了未经许可的修改。好在工作人员及时察觉到了这一袭击行径,防止了危害的出现。Dragos公司表示,攻击者在水利设施建筑公司的站点上部署了一个水坑陷阱,同时积累了一组数据信息,可以增强僵尸网络非法软件仿真合法Web浏览器行为的技能。这个恶意脚本持续存留了大约两个月。
2023年1月6日,来自Hive勒索软件团伙的犯罪分子公开泄露了从Consulate Health Care盗取的550GB数据,其中包括客户和员工的个人身份信息。Consulate Health Care是一家先进的医疗保健服务供应商,专注于急症的后期护理。Hive勒索软件团伙将这家公司添加到他们的To r泄露网站上,并威胁要曝光这些被盗取的数据。这个团伙最初发布了一些被盗数据的样本作为攻击的证明,并声称他们窃取了合同、NDA和其他协议文件,以及公司的私人信息(如预算、计划、收入周期、投资者关系等)、员工信息(如社会安全号码、电子邮件、电话号码、照片)和客户信息(如医疗记录、电子邮件、电话号码和保险信息等)。受害者在他们的网站上发布了通知,确认了这起安全泄露事件。Hive是最活跃的网络犯罪集团之一,主要通过加密数据并勒索大量加密货币作为回报来勒索国际企业。据美国司法部称,多年来,Hive已经攻击了来自80个不同国家的1500多名受害者,勒索金额超过1亿美元。