70%的IT和运营技术专业人员担心网络攻击会造成计算机和工业系统的物理损坏,这些损坏不仅需要耗费大量财力进行灾后恢复,严重的甚至可能危及人命。
今年3月,美国各机构警告称,俄罗斯政府部门正在针对美国的关键基础设施进行广泛的攻击活动,旨在确保在最敏感的网络中站稳脚跟。
攻击者利用鱼叉式网络钓鱼邮件和水坑攻击来危害受害者的计算机系统。根据美国国土安全部和联邦调查局发布的警告称,一旦这些恶意行为者在受害者网络中立足,他们接下来就会进行网络侦察,收集用户名和密码等信息,以及利用其他额外的主机。
这些机构警告基础设施提供商称,俄罗斯政府黑客的渗透行为应该是准备肆虐造成美国经济损失的第一步。
美国国土安全部和联邦调查局在今年3月份发布的通知中指出,“美国国土安全部和联邦调查局将这一活动定性为由俄罗斯政府网络行动者组织的多阶段入侵运动,这些活动针对的是小型商业设施的网络,他们在其中安装恶意软件,进行鱼叉式网络钓鱼并获得远程访问能源部门网络的权限。在获得访问权后,俄罗斯政府网络行动者就会进行网络侦察,横向移动,收集有关工业控制系统的信息。”
随着关键系统越来越多地与互联网连接,网络攻击对物理基础设施的风险和影响——也就是所谓的“网络-物理攻击”——都在增长。在很多情况下,将数字世界与物理世界连接起来的运营网络中包含了更多老旧、落后的技术,因此更为脆弱,也更难实现技术更新。
运营网络安全提供商Claroty的联合创始人兼业务开发主管Galina Antova表示,“当我们谈论关键基础设施时,其不仅仅只是电网,而是世界上在工业网络上运行的一切。从网络安全的角度来看,由于在这些网络上运行的多是遗留系统,因此它们的安全性实际上相当脆弱。”
这种脆弱性已经在现实世界中得到了反复证明。乌克兰电网已经被俄罗斯袭击者关闭;医院运营受到勒索软件攻击的困扰;制造商和运输公司因勒索软件而被迫停工;黑客甚至还用污水淹没了湿地、造成钢厂关闭,以及损坏了熔炉。
Juniper Networks威胁实验室负责人Mounir Hahad表示:“无论我们喜欢与否,我们都生活在一个互联世界中。这意味着网络攻击面正在不断增长,并与现实世界更为紧密地交织在一起。此外,世界各地的政治不稳定局面以及明确归因的困难性,都为进攻性网络能力提供了一片肥沃的土壤,使其能够在相对不受惩罚的情况下肆意行使”。
以下五起网络攻击工控系统的典型案例:
1. 攻击乌克兰电网
一些国家的攻击意图是能够在竞争国的电网中站稳脚跟。最近两起成功的袭击事件均与俄罗斯有关,攻击影响了乌克兰发电公司的正常运营,并为该国造成了严重的电力中断局面。
2015年12月,网络攻击者利用他们在乌克兰能源网络中的立足点关闭了三家电力配送公司,此次事件被称为“oblegnergos”,结果导致225,000家用户在寒冷的冬季无电可用。尽管攻击者破坏了电力公司对袭击事件进行调查的尝试,但停电只持续了几个小时。
一年后,攻击者再次袭击了乌克兰的能源公司,将基辅市部分地区的电力中断了大约一个小时。
由此,不难理解在一项针对能源领域151名安全专业人员进行的调查结果显示,70%的受访者担心网络攻击造成的“灾难性故障”。
Tripwire产品管理和战略副总裁Tim Erlin在一份声明中表示:“能源公司已经接受了数字威胁会带来实际后果的事实。而且,这种看法可能会因为最近发生的一些旨在影响实际操作的攻击行为而日渐加剧。”
2. WannaCry和NotPetya勒索软件攻击
2017年,两款在全球范围内肆意传播的勒索软件攻击——WannaCry和NotPetya——为国际社会造成了异常惨重的损失。其中,WannaCry于2017年5月发布,影响了英国医院以及诊所的系统,导致其2万多个预约取消,并关闭了法国汽车制造商雷诺的工厂。
不到2个月的时间,一款名为NotPetya的勒索软件再次席卷了全球众多大型跨国公司,造成了数亿美元的损失。据联邦快递(FedEx)估计,此次攻击为其造成了3亿美元的损失;而制药商Merck估计,此次攻击为其造成的销售损失高达1.35亿美元,单季度损失1.75亿美元,而且预计最终的理赔将使整体损失翻倍。
随着越来越多的关键业务系统连接到互联网,诸如勒索软件等攻击将对企业产生越来越大的影响。
Claroty公司的Antova表示,“像NotPetya这样的攻击是非常危险的,因为它们可能会蔓延到商业和工业网络中。作为一种副作用,恶意软件可能会跨越这些边界并造成损害。”
3. 网络物理攻击之父:“震网”(Stuxnet)
美国和以色列在Stuxnet病毒上的合作(有人指出该病毒是美国国家安全局和以色列军方情报组织开发的),成功地将网络攻击转化为现实世界的实际损失。据悉,当时有人故意把含有计算机病毒“震网”(Stuxnet)的U盘丢掉,让伊朗核能设施的员工捡到,该员工把U盘插入计算机后,计算机立刻中毒。之后通过设施内部网络陆续控制了德国西门子制的PLC,让数千台离心机超载,造成物理性的破坏。据以色列情报机构负责人所言,此次攻击最终导致伊朗的核武开发计划延后了四年之久。
然而,这次攻击也向世界展示了网络攻击可能对工业网络造成的物理损害的规模。在短短几年内,伊朗又对Saudi Aramco石油公司(沙特阿拉伯的国有石油生产商)的系统进行了攻击,对该公司成千上万个硬盘进行了加密。2017年,类似的代码攻击了Sadara公司——Aramco和Dow Chemical公司之间的联合化学合作伙伴。2017年8月,在另一起针对沙特阿拉伯一家公司的攻击活动中,要不是由于代码中存在一个错误,将可能会引发爆炸。
Juniper公司的Hahad表示,“此次攻击再一次突破了网络物理攻击的底线,因为其目的是引爆工厂,而不再仅仅是感染系统、窃取情报等意图。”
4. 澳大利亚马卢奇污水处理厂非法入侵事件
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
据悉,这位前工程师通过一台手提电脑和一个无线发射器控制了大约140个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入当地的公园和河流中,导致当地环境受到严重破坏。最终,Boden因此次入侵行为被判入狱2年。
澳大利亚环境保护局调查经理Janelle Bryant当时表示,“此次事故造成大量海洋生物死亡,河水也开始污染变黑,发出的恶臭味让附近居民无法忍受,甚至会危害居民身体健康。”
5. 德国钢厂遭受“巨大损害”
2014年底,德国联邦信息安全办公室(BSI)发布了一份《2014年信息安全报告》,这份长达44页的报告中披露了一起针对IT安全关键基础设施的网络攻击,并造成重大物理伤害。受攻击方是德国的一个钢铁厂,遭受到高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢厂办公网络的访问权。攻击者技术非常熟练,且十分熟悉这些系统,暗示着他们可能是国家支持的威胁行为者。
据悉,攻击者在获得钢厂办公网络的访问权后,就利用这个网络,设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,从而给钢厂带来了重大破坏。
Claroty公司的Antova表示,随着其他国家威胁行为者日益关注工控和关键基础设施系统,公司必须对网络防御采取更为积极主动的立场。她说,“我们不能全部寄希望于政府,政府所能做的不过是事故发生后的事件响应和协助调查。我们必须采取正确的举措,以更为积极的态度捍卫自己公司的网络系统并强化其安全性。”