在全球市場經濟競爭激烈的今天,依賴自然資源的經濟發展和地緣政治波動,促使各項工業行業成為網絡間諜活動的目標,由于采礦行業處于全球供應鏈中的關鍵戰略地位,當前,該行業正面臨越來越多的網絡威脅。
本文通過研究現代采礦業的運營模式,調查與采礦行業相關的網絡間諜攻擊活動,了解采礦行業面臨的信息安全威脅,并提出綜合防御建議。
1 工控行業面臨的網絡攻擊
1.1 針對不同工業領域的網絡攻擊
像每天數據泄露事件的新聞一樣,針對不同工業行業的網絡攻擊事件變得越來越普遍。APT攻擊如BlackEnergy,已經由原本單純的工業間諜活動發展為使工業資產造成破壞的物理攻擊。而據分析,BlackEnergy和Sandworm APT攻擊很可能是造成烏克蘭兩個電站在2015年12月發生斷電的原因。BlackEnergy和惡意軟件Killdisk還被發現曾試圖對烏克蘭一家礦業公司和大型鐵路運營商發起網絡攻擊。下圖為BlackEnergy 攻擊從能源領域向其它行業的威脅演變。
圖1 BlackEnergy 攻擊的威脅演變
BlackEnergy 案例表明APT攻擊不僅能滲透到組織內部還能像武器一樣造成資產損失。
由于風險存在于各工控行業的整體供應鏈過程,包括:原材料采集、制造和生產、物流、庫存、配送等,網絡攻擊對供應鏈的任何環節都會造成資產和經濟損失。如今,武器化的APT攻擊是不容忽視的。
回首發生過的網絡間諜攻擊活動,無一不是在黑客、國家支持攻擊者、商業競爭對手和犯罪組織之間的利益交錯行為。這些網絡攻擊活動目標涉及各種行業,包括數據情報竊取(Red October)、能源設施硬盤刪除(Shamoon)、核設施破壞(Stuxnet)到最近的發電設施破壞(BlackEnergy)。
1.2 為什么工業行業容易受到網絡攻擊?
高度集中化的操作模式是不同工業行業中的薄弱隱患之一。操作技術(OT)通過硬件或軟件檢測或直接監測/控制物理設備、過程和事件變化。在全球經濟競爭激烈的今天,OT或IT行業的生產控制、關鍵資產管理、物流等過程的高度整合和智能化,是組織機構需要的最佳供應鏈管理模式。
OT和IT兩部分技術部件的整合,成為了網絡犯罪分子的主要目標。在很多組織機構中,安全防護不夠的OT基礎設施是最易受網絡攻擊的部分,而且它們的IT解決方案根本不能適應控制系統,如SCADA。除此之外,一些新興技術,如云計算、大數據分析、物聯網使今天的組織機構面臨更多更復雜的安全挑戰。簡單地說,工控行業集中化給網絡生態系統引入了全新和未知的漏洞。
2 采礦行業
2.1 現代采礦作業
采礦作業包括兩個主要活動:礦石開采、礦物加工(從礦石中提升和回收金屬和礦物)
2.2 開發礦山
識別和開發礦山是一個漫長而昂貴的過程,涉及勘探、發現、可行性研究和建設。下面概念圖顯示了礦山從開發到報廢所有階段的價值鏈過程:
2.3 礦業自動化
今天,礦山安全、健康立法、技術進步和培訓減少了采礦死亡和受傷的風險。自動化是提高礦井安全性的關鍵因素,它取代了危險、重復和勞動密集型任務。而對采礦自動設備和工藝發起的網絡攻擊將會對礦業安全造成威脅。
礦山自動化設備如全球定位系統(GPS)、遙感、無線通信、和高速電信通訊等。例如:
2.4 礦業經濟因素
礦業經濟是影響國家經濟的一個關鍵因素,當然,隨之而來的也可能有網絡攻擊。下圖顯示了部分國家對國民經濟占有重要地位的主要出口項目,其中礦業行業為出口支柱行業。
3 針對采礦行業的網絡攻擊威脅
3.1 為什么采礦行業會成為網絡攻擊的目標?
原因1 獲取有競爭優勢的最新技術知識和情報
針對采礦行業的網絡間諜活動主要是為了確保利益集團獲得最新的技術知識和情報,使他們能夠保持競爭優勢,并在全球大宗商品交易市場中蓬勃發展。
(1) 對金屬和礦產的定價數據是網絡間諜活動針對礦業行業的竊取目標之一。如果對手擁有礦業內幕定價數據信息就可以在高價競爭中操縱市場交易,或與買方協商更好的收購價格,或是改變收購條款等等 。另外,礦業客戶信息數據也是網絡攻擊的一個重要目標,競爭對手可以利用被盜的客戶信息來操縱未來的礦業交易。
(2) 知識產權(IP)如生產方法、選礦方法、化工方式、定制軟件等,也是網絡犯罪分子有利可圖的目標。知識產權盜竊可以大大降低研究開發成本,一個新的地雷。國家級網絡間諜活動通常針對知識產權的竊取,之后,他們可以將這些技術知識轉移應用到其國家采礦行業中。
(3) 當前,礦業行業的國家級別網絡間諜活動越來越對治理方法、決策、企業高管政策制定過程等感興趣,這是因為良好的決策和治理方法是任何采礦作業成功的關鍵,這些有用的決策和方法可以很好地應用到他國的采礦行業中。
(4) 地質學家在勘探階段分析確認新礦床產生的大數據集是非常昂貴的,這是礦業公司持續增長和成功的關鍵,當然,這也是網絡間諜活動的目標之一。
(5) 在合并或收購業務中,礦石儲量和生產數據是網絡間諜活動的主要目標,這些內幕信息是降低收購價值和成功競標的關鍵。采礦業正朝著普遍、超大型、高噸位和超機械化的方向發展。這使得小規模的采礦業務在經濟上不可行導致倒閉、兼并和收購。礦山價值的根本來源是其潛在的礦產儲量。
(6)煤礦監控系統用于生產監控、設備狀態監測、安全和環境監測。有統一的報告應用程序來整理、處理和顯示來自不同煤礦監控系統的信息。從每個監控系統接收到的數據被反饋到一個中央數據庫作進一步處理和顯示,這些報告數據庫是網絡罪犯有價值的間諜活動的目標,因為他們提供了采礦作業的實時狀態更新。
原因2 網絡攻擊可以削弱一個國家的經濟發展
網絡攻擊活動可用于實施精心策劃的戰略或報復打擊別國關鍵經濟體:
(1) 高成本和長周期的采礦作業會導致技術革新率較低,標準和設備升級被視為不必要的生產活動,這也意味著采礦作業使用的設備和通信協議容易受到網絡攻擊。
(2)由網絡攻擊或其它原因造成采礦作業鏈主要設施(電力、水、柴油機和空氣壓縮機)的中斷或破壞,將會使采礦作業癱瘓。電力、水、柴油機和空氣壓縮是采礦作業鏈中的四種重要設備。
(3)自動化是取代危險、重復和密集型任務并提高礦井安全性的關鍵因素。針對自動化采礦設備和過程的網絡攻擊將會對安全作業形成威脅。
(4)由網絡攻擊引起的任何對采礦自動化設備的干擾和影響,可能導致采礦作業癱瘓,并造成設備毀壞和經濟損失。
(5)礦物加工過程是由ICS系統進行自動和半自動化控制,實現礦產量最大化的操作步驟,所以礦物加工設備由于ICS的安全風險也容易受到網絡攻擊。
(6) 采礦綜合控制中心ROC作為現代采礦作業的神經中樞,ROC單點故障可以導致整個采礦作業癱瘓,所以,針對ROC的破壞/毀壞也是網絡犯罪分子的目標。
(7)第三方供應商和承包商缺少正規的安全防護策略,但卻在日常采礦作業中發揮著重要作用,所以這也是導致網絡攻擊的潛在途徑。
原因3 傳統的數據竊取,如個人身份信息、財務數據和密碼憑據等
礦業公司也正遭受數據泄露威脅,涉及到所有類型的大小企業。大部分數據泄露事件的目的是竊取個人身份信息(PII)、財務數據和密碼憑據等。
(1)個人身份信息(PII)可用于提交身份欺詐、虛假納稅申報、申請貸款或信用卡、注冊虛假賬戶、出售給營銷公司,或發起垃圾郵件和網絡釣魚攻擊。
(2) 財務數據可以用來制作偽造的信用卡、支付賬單,進行網上欺詐交易,從受害者銀行賬戶轉移資產。
(3) 密碼憑據可用于竊取個人信息、開展間諜活動,或發起垃圾郵件和網絡釣魚攻擊。
(4)在報復性攻擊或黑客主義行為中,盜取數據也被用來脅迫受害者勒索贖金。
原因4 礦山造成的環境污染
一些環保活動人士聲稱礦業公司對環境、野生動物棲息地和其它方面造成破壞和影響,出于這樣的擔憂,他們可能會采取針對礦業公司的報復行為。
3.2 針對采礦行業的網絡威脅類型?
(1)國家級別的網絡間諜活動
網絡間諜活動越來越成為國家間獲取情報的主要手段。發達國家的網絡設備以其復雜、隱身和不易察覺的方式在機構組織內部收集傳輸數據;發展中國家正在使用網絡間諜活動作為一種快速和經濟的方式,來增加情報收集能力。
(2)有組織網絡犯罪組織
網絡犯罪組織的入侵可分為兩類:第一類是由犯罪團伙竊取出售敏感信息和加密文件并要求贖金,或取得電腦控制權限變成僵尸網絡等;第二類是政府雇傭網絡犯罪團伙進行間諜活動,或實施開展政治破壞和毀壞類的網絡攻擊,在被發現之后,可以保持否認立場。出于利益原因,這兩類犯罪方式也可能出現交叉。
(3)競爭對手
競爭對手互相從事間諜活動,可以追溯到商品貿易的起源時期。競爭對手有興趣的信息包括知識產權、生產方法、生產能力、定價信息、客戶信息等。在極端情況下,為獲得更強大的市場立足點,競爭對手可能會發起破壞或毀壞性的網絡攻擊。
(4)黑客主義活動者
黑客主義活動者攻擊網絡資產,以達到相關的政治妥協,通常他們會選擇高知名度或受關注的目標,但往往他們的攻擊目標和攻擊原因極不匹配,采礦、石油和天然氣公司經常淪為他們抗議環境影響、棲息地破壞、企業貪婪和其它關切問題的目標。
3.3 礦業公司是如何遭到入侵的?
(1)網絡釣魚和社工技術攻擊
選擇特定目標,通過郵件釣魚配合社工技術是最有效的針對性攻擊。ICS安全咨詢商Digital Bond進行了一項實驗:向不同公司的主要ICS系統人員發出了有嵌入式鏈接的魚叉式網絡釣魚郵件,然后,通過開源情報系統識別上鉤目標,其中有25%的接收者通過點擊釣魚郵件鏈接而成為受害者,這些受害者中包括:ICS系統主管、自動化技師、設備診斷工、儀表技術員等。
(2) 漏洞利用
每個月軟件供應商都會對新的軟件漏洞進行披露和修補,只有極少數的漏洞會成為“武器化”工具,一旦這些漏洞被“武器化”,它們將被多年用于網絡攻擊中,如CVE -2008-4841、CVE -2010-3333 CVE-2012-0158和CVE-2010-2568等,系統補丁不適配或操作系統不支持都可能導致被這些漏洞利用工具成功入侵。
(3)水坑攻擊
攻擊者通過感染目標用戶經常訪問的網站,實現對特定目標和網絡的入侵控制。
(4)惡意廣告攻擊
惡意廣告攻擊是通過網絡廣告在線傳播惡意軟件,惡意廣告攻擊包括向合法在線廣告注入或裝載惡意軟件實現傳播攻擊。
(5)針對第三方供應商和承包商的攻擊
攻擊者通過成功入侵承包商和第三方供應商,并利用他們作為后門進入有針對性的企業網絡。美國零售商塔吉特(Target)曾在2013年11月淪為史上信用卡數據泄露事件的受害者,經過后期調查發現,網絡犯罪分子通過入侵了Target的第三方供應商HVAC而成功地進入Target網絡實施了數據竊取。第三方供應商和承包商是產業供應鏈中的關鍵節點,其信息安全問題也應備受關注。
(6) 中間人(MitM)攻擊
中間人攻擊涉及在兩個中繼通信系統/終端/實體之間的數據攔截、改變和傳輸。攻擊者通過攔截兩個受害者之間的所有相關消息,或者改變消息或注入新消息。這在很多情況下是非常容易實現的,例如在一個未加密的無線接入點接收范圍內,攻擊者可以將自己作為中間人。MITM攻擊目的是規避或相互認證直接與終端進行連接。
(7)感染設備攻擊
設備制造商的新設備里預裝了惡意軟件,雖然這聽起來不太可能,但最近的例子如聯想公司的出貨筆記本電腦預裝了惡意軟件。我們也和不同礦業公司的IT安全專家對設備預裝惡意軟件情況,如Stuxnet事件等進行了多次討論,他們表示非常擔心。
(8)內部工作人員威脅
內部工作人員是最難的攻擊向量,因為它需要通過組織信任以實施權限濫用。一些不滿、失望或急需用錢的員工可能采取這類措施對企業進行攻擊。
3.4 針對采礦行業的著名網絡攻擊案例
針對采礦行業的網絡攻擊,比針對其他行業如醫院、銀行的網絡攻擊所獲得的關注度較高,下表為2010年到現在,針對采礦行業的網絡攻擊案例,這些攻擊確實發生過,并帶來重大影響。
3.5 對工業行業造成威脅的惡意軟件
通過安全研究,我們收集了能源、制造業、石油和天然氣三個工業行業2015年的日常網絡攻擊數據,總結了其中有惡意軟件分類,收集的數據可能無法準確地代表所有威脅,但仍表現了一種總體趨勢:
其中,ADW_OPENCANDY 是三個工業行業中被檢測到的最大威脅;MAL_OTORUN、MAL_HIFRM、 CRCK_KEYGEN是在三個工業行業中的主要感染源;惡意廣告軟件感染分布于三個工業行業。
3.6 ICS:采礦行業的安全薄弱點
采礦ICS系統
SCADA系統、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端單元(RTU),簡易爆炸裝置(IED),執行器和傳感器被廣泛用于自動化的采礦和選礦設備中。采礦自動化的例子是:
(1)卡車上進行挖礦和碎礦設備的自主牽引系統。
(2) 控制礦區自主車輛的指揮控制系統(C2)
(3) 礦區內避免碰撞系統和區域限定系統
(4) 危險環境中執行挖掘任務的遠程控制系統(遠程操作推土機和挖掘機)
(5)控制不同采礦流程的過程知識系統(PKS)
(6)礦業公司對環境、巖土工程和振動的監測系統,對斜面運動、挖掘、隧道和相鄰的結構的傳感系統。
(7)安裝在輸送帶上的激光誘導和實時分析系統(LIBS)。
(8) 水平、定位、體積、壓力和流量測量使用的(有線或無線)聲納,電磁,雷達和振動傳感器
(9)用于地下開采的自動化系統,如巖爆災害遠程評估系統、電液控制系統等
(10)自動鉆井設備中振動、慣性、地震和傾斜等技術傳感器
(11)輸送帶監控系統。
暴露在互聯網上的ICS設備
我們通過SHODAN,對暴露在互聯網上的HMI控制系統和ICS系統進行了搜索,這些暴露在互聯網上的設備系統很容易受到攻擊入侵。
上圖顯示為暴露HMI系統:二氧化碳(CO2)傳感器、水泵、銑床、堆肥池,水處理廠和一條輸送帶。
我們還利用GeoIP配合SHODAN的搜索數據在GOOGLEearth標注了HMI和ICS系統的地理位置,下圖中黃色方塊代表礦山區域,紅色引腳代表暴露的ICS設備,綠色方框代表主要的人口中心,如城市或大城鎮。
從谷歌地球上我們得出了以下的結論:
絕大多數的礦山位于偏遠的地方,很少有暴露的ICS設備在他們的附近
大多數暴露的ICS設備位于大城鎮和城市的人口中心
現代礦山是高度自動化的,他們的ICS設備控制中心通常位于遠離采礦地點數百或數千公里以外的人口中心。通過控制中心的HMI系統遠程控制礦區ICS設備,如果這些礦區ICS設備暴露在互聯網上,就會危及采礦安全
美國的截圖是有點難以辨認,因為許多人口中心分散在美國各地。仔細檢查,我們發現,美國的數據也遵循預期的趨勢:大多數的礦山位于偏遠地區,很少有ICS設備暴露在礦山附近
存在一個很高的概率性,一些非ICS設備暴露在礦區附近,這些設備可能礦區的服務器、臺式機、移動設備等,它們會成為數據竊取的目標,或是入侵企業內網的切入點
4 安全防護建議
根據我們的研究結果結合采礦行業的網絡攻擊威脅,我們提出了采礦行業公司最低安全配置的強制性安全策略:
(1)網絡分段。將網絡劃分為不同的安全區域,并實現關鍵部分的保護隔離。Purdue模型是劃分ICS網絡的最好指南;
(2)補丁管理。及時掌握、評估和識別漏洞信息,及時修復系統或應用軟件補丁,達到堵塞漏洞,消除隱患;
(3)訪問控制。這是廣義的問題,涵蓋了所有方面的可控制訪問網絡、關鍵資產、設備或服務,根據準確定義分類 who/what權限 ;
(4)入侵檢測。所有的系統都需要一些監控系統活動的方法,并在網絡中識別潛在的惡意事件。沒有入侵檢測系統,一個輕微的安全問題可能會成為關鍵安全事件;
(5)事件規劃和響應。一個全面的網絡事件響應計劃應包括一些積極主動和響應緩解的措施。積極的響應措施可以幫助企業應對、檢測和管理安全事件的發生。