黑客獲取工控系統(tǒng)運(yùn)行信息破壞關(guān)鍵基礎(chǔ)設(shè)施
大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施,如石油精煉廠、能源公共事業(yè)等,都很難獲得他們的專有信息。將原油精煉成汽油需要的是科學(xué),而不是秘制醬汁。電力行業(yè)也是如此。
那么問(wèn)題來(lái)了,為什么高級(jí)黑客要采用與攻陷IT行業(yè)相同的高級(jí)持續(xù)性威脅(APT)風(fēng)格的數(shù)據(jù)滲透技術(shù)來(lái)對(duì)付關(guān)鍵基礎(chǔ)設(shè)施呢?這是因?yàn)樗鼈兺瑸榍閳?bào)收集。
“他們不竊取財(cái)務(wù)數(shù)據(jù),也不拿走’收購(gòu)和并購(gòu)案’消息。他們只取走與工業(yè)控制系統(tǒng)(ICS)基礎(chǔ)設(shè)施內(nèi)部運(yùn)作相關(guān)的信息。”——德萬(wàn)·喬杜里,尖端 網(wǎng)絡(luò)安全產(chǎn)品公司MalCrawler主要負(fù)責(zé)人,資深工控系統(tǒng)和數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)安全顧問(wèn)。“他們想要定義煉油廠運(yùn)行方式的可編程邏輯 控制器(PLC)模板,想要電力輸送.asr(行為腳本遠(yuǎn)程文件)方案。”
這些攻擊的最終目的,尤其是在喬杜里耗費(fèi)時(shí)間最多的中東地帶,通常是搞破壞。收集這些情報(bào)可以幫助黑客們將惡意軟件和攻擊方式當(dāng)做武器,破壞煉油進(jìn)程或電力輸送,影響世界經(jīng)濟(jì)。
“搞破壞是最恐怖的事。在IT界,搞破壞無(wú)非就是刪除文件或偷走數(shù)據(jù)庫(kù)。但從安全角度看,當(dāng)你能對(duì)有形資產(chǎn)造成沖擊并帶來(lái)?yè)p害的時(shí)候,事情就可怕了。”
喬杜里提到了一個(gè)從工控系統(tǒng)偷取的信息引發(fā)能源基礎(chǔ)設(shè)施遭受攻擊的案例。這個(gè)案例里,中東一家天然氣供應(yīng)商的管道正在經(jīng)受壓力問(wèn)題,但SCADA主控系統(tǒng)看起來(lái)毫無(wú)異樣,還在報(bào)告一切正常。不過(guò),實(shí)地檢查的時(shí)候發(fā)現(xiàn)有間控制室被闖入過(guò),后續(xù)對(duì)工控系統(tǒng)設(shè)備的調(diào)查中又發(fā)現(xiàn)該設(shè)備注冊(cè)表中被新建了一項(xiàng)服務(wù),持續(xù) 向SCADA主控制器發(fā)送虛假信息的同時(shí)操控某遠(yuǎn)程終端進(jìn)行錯(cuò)誤動(dòng)作。
“想要真正打擊到像電網(wǎng)這樣的設(shè)施,你需要獲取到其內(nèi)部運(yùn)作相關(guān)的信息。”喬杜里說(shuō),“ASR是怎樣設(shè)置的?煉油廠中品質(zhì)控制是何時(shí)介入的?這些就是你要操縱并化為武器所需的數(shù)據(jù)。”
換句話說(shuō),這已經(jīng)不是黑客前輩們玩的APT了。
說(shuō)到電網(wǎng),攻擊者可以關(guān)停整個(gè)電網(wǎng)的老一套說(shuō)法其實(shí)是個(gè)謬誤,好萊塢大片式的誤導(dǎo),因?yàn)殡娋W(wǎng)或通信網(wǎng)等重要基礎(chǔ)設(shè)施網(wǎng)絡(luò),均內(nèi)建了冗余機(jī)制(微信關(guān)注“安全牛”,回復(fù)“互聯(lián)網(wǎng)崩潰”可看詳細(xì))。相反,這是一個(gè)很有效的營(yíng)銷和宣傳工具,政客們想為新規(guī)范或其他議程制造緊迫感的時(shí)候就拿來(lái)用上一把。
“電網(wǎng)設(shè)計(jì)上有自我保護(hù)功能,能夠抵御颶風(fēng)、龍卷風(fēng)。而且這種設(shè)計(jì)思路自電網(wǎng)出現(xiàn)那天起就一直延續(xù)下來(lái)。并且,即使電網(wǎng)的某部分故障了,也不會(huì)影響到其他部分。”但是,也曾出現(xiàn)過(guò)對(duì)工業(yè)造成重大破壞的攻擊事件。其中最著名的就是利用沙蒙病毒(Shamoon wiper)攻擊沙特阿美石油公司導(dǎo)致3萬(wàn)臺(tái)windows工作站被棄用的事件。去年11月,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)布了一份公告,警告工控系統(tǒng) 的運(yùn)營(yíng)者已出現(xiàn)被惡意軟件“黑色力量(BlackEnergy)”利用的漏洞,即沙蟲(chóng)APT零日漏洞。另外,安全牛去年底報(bào)道過(guò)一起針對(duì)德國(guó)鋼鐵廠IT安全關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,造成重大物理傷害。
卡巴斯基實(shí)驗(yàn)室的研究員們當(dāng)時(shí)針對(duì)“黑色力量”發(fā)布過(guò)一份報(bào)告,稱發(fā)現(xiàn)有部分插件被用于偷竊密碼、數(shù)字憑證等信息。其中更為棘手的一個(gè)插件名為“dstr”,是攻擊者懷疑自己被發(fā)現(xiàn)時(shí)用隨機(jī)數(shù)據(jù)重寫(xiě)硬盤(pán)破壞痕跡的命令行工具。
喬杜里說(shuō)自己希望看到在工控安全界也出現(xiàn)類似幾年前軟件開(kāi)發(fā)圈里興起的在開(kāi)發(fā)生命周期伊始便致力做好安全防護(hù)的布道努力。
“在 IT界,加強(qiáng)安全意識(shí)的努力已經(jīng)初見(jiàn)成效;很多應(yīng)用層的東西相比5年前已經(jīng)很難對(duì)系統(tǒng)造成破壞了。”但工控界仍毫無(wú)所覺(jué),真正的挑戰(zhàn)也許在于文化意識(shí)上 的,因?yàn)楣た亟纾怯晒こ處焸兌皇怯蒊T極客們把持。“網(wǎng)絡(luò)社區(qū)應(yīng)該將工程師們也納入進(jìn)來(lái),讓他們看到殘酷的現(xiàn)實(shí)。”
德萬(wàn)·喬杜里
在一些圈子里,依然存留有事后處置比事前預(yù)防更經(jīng)濟(jì)的想法。不過(guò),喬杜里說(shuō),在電力設(shè)施行業(yè),舉個(gè)例子,北美電力可靠性協(xié)會(huì)(NERC)制定的規(guī)范 就不僅包括了安全檢查表,還迫使廠商在電容器組或電壓網(wǎng)絡(luò)調(diào)節(jié)閥上加裝如互聯(lián)網(wǎng) 協(xié)議安全性(IPSec)或遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RADIUS)之類的安全控制措施。
“這可是大事件,”喬杜里說(shuō)。
安全牛評(píng):挖掘工控系統(tǒng)的漏洞其實(shí)并不難,只是由于其封閉性,很難搭建模擬環(huán)境進(jìn)行研究。雖然被黑的幾率小,可一旦被入侵,嚴(yán)重性不可估量。而且,我國(guó)的關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,大量采用國(guó)外的工控系統(tǒng)和設(shè)備,因而面臨更嚴(yán)重的安全威脅。
