這是世界上首個真正意義上的工控蠕蟲病毒,它能夠對關鍵基礎設施產生災難性的后果,通過制造指數級增長的攻擊,而且難以檢測和制止。所幸的是,它現在還只是個POC(概念驗證)。
這個POC已經被兩起獨立的研究測試證實,能夠以靜默模式實現端到端的攻擊。
有人會說,震網不就是工控病毒嗎?話雖這樣說,但震網之類的工控惡意軟件,包括“黑色能量”等是要依賴于一臺被感染的計算機才能傳播并感染PLC(可編程控制器)的,也就是說把被感染的計算機移除即可制止病毒的傳播。
開發出這個真正工控蠕蟲POC的兩位研究人員,Spenneberg(斯班伯格)和Brüggeman(布魯格曼)表示,該病毒可以在西門子 S7 1200 可編程控制器之間像癌癥一樣的擴散, 并在改編之后作用于其他系統。而且還可以在代理鏈接中使用,作為立足點以進入基礎設施的網絡系統。
這是第一個無需借助PC或其他系統,即可實現在PLC之間進行傳播的蠕蟲病毒。想像一下,如果你的工控系統中的一臺PLC被感染,你是很難檢測到的,而且很快它就能擴散到整個系統中。
“利用這個病毒,可以發起拒絕服務,停止PLC的工作等等,我們都知道這對大型工廠或關鍵基礎設施意味著什么。”
兩位研究人員制作了一個仿真電廠構造來演示蠕蟲的攻擊過程。隨著蠕蟲在PLC之間的跳躍,LED燈在150毫秒的最大時間周期內閃爍后熄滅。
更加可怕的是,這種蠕蟲攻擊還可以被PLC產生的電波頻率和振幅所掩蓋。
另兩位安全研究人員Bolshev和Krotofil的研究表明,攻擊者可以通過石油管道入侵遠程站,判斷正常的頻率模式,然后重復用高頻率組件重復這些電波,以掩蓋攻擊破壞行為。
Bolshev使用西門子S7控制器和一個電動機演示了攻擊過程,但他同時強調這個漏洞并非S7本身的問題,而是歸究于整個系統架構的設計。
“我們在控制器完全不知情的情況下引入了一個擾亂電動機的信號,一段時間后,電動機就會被摧毀。這就是隱藏式的攻擊。”
應對這種攻擊,需要替換S7中的硬件,以能夠檢測到更高的頻率,并且在作動器(actuator)和PLC周圍安裝低通濾波器。
最近半年來發生的工控安全事件,如烏克蘭電廠,已經證明工控安全形勢的岌岌可危,甚至個人都可以發起對關鍵基礎設施的毀滅性打擊。但應對這種攻擊的成本非常之高,需要實施硬件的更新換代,而這對于龐大陳舊的工控系統來說,代價之大難以想像。
蠕蟲研究報告地址:
https://regmedia.co.uk/2016/04/29/plc_87458745.pdf
京公網安備 11010502049343號