大多數關鍵基礎設施,如石油精煉廠、能源公共事業等,都很難獲得他們的專有信息。將原油精煉成汽油需要的是科學,而不是秘制醬汁。電力行業也是如此。
那么問題來了,為什么高級黑客要采用與攻陷IT行業相同的高級持續性威脅(APT)風格的數據滲透技術來對付關鍵基礎設施呢?這是因為它們同為情報收集。
“他們不竊取財務數據,也不拿走’收購和并購案’消息。他們只取走與工業控制系統(ICS)基礎設施內部運作相關的信息。”——德萬·喬杜里,尖端 網絡安全產品公司MalCrawler主要負責人,資深工控系統和數據采集與監控系統(SCADA)安全顧問。“他們想要定義煉油廠運行方式的可編程邏輯 控制器(PLC)模板,想要電力輸送.asr(行為腳本遠程文件)方案。”
這些攻擊的最終目的,尤其是在喬杜里耗費時間最多的中東地帶,通常是搞破壞。收集這些情報可以幫助黑客們將惡意軟件和攻擊方式當做武器,破壞煉油進程或電力輸送,影響世界經濟。
“搞破壞是最恐怖的事。在IT界,搞破壞無非就是刪除文件或偷走數據庫。但從安全角度看,當你能對有形資產造成沖擊并帶來損害的時候,事情就可怕了。”
喬杜里提到了一個從工控系統偷取的信息引發能源基礎設施遭受攻擊的案例。這個案例里,中東一家天然氣供應商的管道正在經受壓力問題,但SCADA主控系統看起來毫無異樣,還在報告一切正常。不過,實地檢查的時候發現有間控制室被闖入過,后續對工控系統設備的調查中又發現該設備注冊表中被新建了一項服務,持續 向SCADA主控制器發送虛假信息的同時操控某遠程終端進行錯誤動作。
“想要真正打擊到像電網這樣的設施,你需要獲取到其內部運作相關的信息。”喬杜里說,“ASR是怎樣設置的?煉油廠中品質控制是何時介入的?這些就是你要操縱并化為武器所需的數據。”
換句話說,這已經不是黑客前輩們玩的APT了。
說到電網,攻擊者可以關停整個電網的老一套說法其實是個謬誤,好萊塢大片式的誤導,因為電網或通信網等重要基礎設施網絡,均內建了冗余機制(微信關注“安全牛”,回復“互聯網崩潰”可看詳細)。相反,這是一個很有效的營銷和宣傳工具,政客們想為新規范或其他議程制造緊迫感的時候就拿來用上一把。
“電網設計上有自我保護功能,能夠抵御颶風、龍卷風。而且這種設計思路自電網出現那天起就一直延續下來。并且,即使電網的某部分故障了,也不會影響到其他部分。”但是,也曾出現過對工業造成重大破壞的攻擊事件。其中最著名的就是利用沙蒙病毒(Shamoon wiper)攻擊沙特阿美石油公司導致3萬臺windows工作站被棄用的事件。去年11月,工業控制系統網絡應急響應小組發布了一份公告,警告工控系統 的運營者已出現被惡意軟件“黑色力量(BlackEnergy)”利用的漏洞,即沙蟲APT零日漏洞。另外,安全牛去年底報道過一起針對德國鋼鐵廠IT安全關鍵基礎設施的網絡攻擊,造成重大物理傷害。
卡巴斯基實驗室的研究員們當時針對“黑色力量”發布過一份報告,稱發現有部分插件被用于偷竊密碼、數字憑證等信息。其中更為棘手的一個插件名為“dstr”,是攻擊者懷疑自己被發現時用隨機數據重寫硬盤破壞痕跡的命令行工具。
喬杜里說自己希望看到在工控安全界也出現類似幾年前軟件開發圈里興起的在開發生命周期伊始便致力做好安全防護的布道努力。
“在 IT界,加強安全意識的努力已經初見成效;很多應用層的東西相比5年前已經很難對系統造成破壞了。”但工控界仍毫無所覺,真正的挑戰也許在于文化意識上 的,因為工控界,是由工程師們而不是由IT極客們把持。“網絡社區應該將工程師們也納入進來,讓他們看到殘酷的現實。”
德萬·喬杜里
在一些圈子里,依然存留有事后處置比事前預防更經濟的想法。不過,喬杜里說,在電力設施行業,舉個例子,北美電力可靠性協會(NERC)制定的規范 就不僅包括了安全檢查表,還迫使廠商在電容器組或電壓網絡調節閥上加裝如互聯網 協議安全性(IPSec)或遠程認證撥號用戶服務(RADIUS)之類的安全控制措施。
“這可是大事件,”喬杜里說。
安全牛評:挖掘工控系統的漏洞其實并不難,只是由于其封閉性,很難搭建模擬環境進行研究。雖然被黑的幾率小,可一旦被入侵,嚴重性不可估量。而且,我國的關鍵基礎設施領域,大量采用國外的工控系統和設備,因而面臨更嚴重的安全威脅。
京公網安備 11010502049343號