报告|重重包围下的工业控制系统网络(上)

消息来源: 搜狐         消息类型: 行业新闻         发布日期:2017-08-18

 

工业控制系统是关键基础设施的重要组成部分,工业控制系统在电力,化工,食品和饮料加工、汽车产业、航空航天、制药、自来水和废水处理厂等众多类型的工厂中起到关键性作用。

工业控制系统作为虚拟信息连接真实物理世界的关键枢纽,在拉近虚拟与现实的距离,让生产变得更精准、更敏捷的同时,也使得网络攻击可以直接破坏现实世界。更糟糕的是,越来越多的网络攻击者已经意识到攻击工业控制系统低投入、高回报的特点。

攻击者身份多种多样,可能是黑客,或者是大型有组织犯罪集团成员,甚至是敌对国家或恐怖组织的秘密部门。 一部分攻击者渴望获取经济利益:通过掌控工业控制系统的控制权,向企业敲诈巨额资金,或者从企业的数据库中窃取高价值知识产权。而一些敌对倾向攻击者则更具破坏性,他们企图瘫痪关键基础设施,影响当地民众生活,或通过攻击工业控制系统造成人员伤亡。

作为可以破坏真实物理世界的攻击手段,攻击工业控制系统可能正在成为恐怖分子获得影响力的捷径。

例如在印度博帕尔发生的工业事故,使60多万人受到了泄露的有毒气体的伤害,粗略估计,将会有15,000人因为这次袭击而死亡。 虽然此事件并非因网络威胁而起,但通过网络手段完全可以达到类似攻击效果。倘若我们的工厂也受到了这样的攻击,那么企业和社会受到的损失,将是不可估量甚至无法挽回的。

美国国家情报局前局长詹姆斯曾指出:“以政府为背景的网络攻击的黑客正在不断增多,来自国外黑客正在不断侦查并访问美国的一些重要基础设施,这可能导致当有一天我们与他们敌对时,这些被入侵的系统将迅速遭到破坏”。

网络黑客正在进一步开发用于入侵工业控制系统的黑客工具,让网络攻击变得更加便捷化、自动化、智能化,攻击波及面也将愈加庞大。

我们会遭遇多少起针对工业控制系统的网络攻击呢?相信很多企业和调查机构都有自己的数据答案,但实际上,全球每天发生的攻击事件远远不止这些。

图片来源:E安全工控安全调查报告


原因有多方面,首先绝大多数攻击都没有被公布出来。大量安全事件和威胁的根源是企业高层对于工业控制系统网络安全重视程度不足以及企业员工的违规操作,所以在没有强制通报机制约束下,许多企业选择隐瞒事件息事宁人。

另一方面,很多企业由于缺乏基本的网络威胁预警和监测手段,根本没有意识到自己蒙受的损失来源于网络攻击,一旦发生设备异常首先联想到的是设备质量问题并更换备品备件。

我们不但要意识到工业控制系统网络攻击的巨大危害性更要学习前车之鉴。本报告挑选了较早期的三个著名事件案例以及本年度最新的五个案例,多角度解读工业信息安全事件的攻击方式与后果影响。 

震网--2011年

震网病毒可能是最近对关键基础设施工业控制系统发动攻击的最有知名度的病毒,被认为是美国政府破坏或者拖延伊朗政府核计划的产物。

据报道称,震网的攻击成功的破坏了伊朗20%多的铀离心机,并使他们的核计划倒退了1年多。假设一下,一旦离心机失去控制并报废,使得放射性物质扩散,会带来多么严重的后果。震网病毒传播者为了此次攻击做了很多准备,巧妙使用u盘突破物理隔离,并彻底攻破了西门子的PLC。

Duqu--2011年

Duqu是2011年年底发现的一种非常复杂的高级病毒,由于其编写格式和震网病毒有相似之处,我们可以将其视作震网病毒的变种。Duqu可能正在寻找攻击目标,但值得庆幸的是目前Duqu并没有对任何设施发动攻击的实例或迹象。

根据MaAfee的研究显示,Duqu主要的活动之一是搜集并获取数字证书和私人秘钥,以在未来支持恶意软件能更有效的攻击受入侵的电脑,Duqu使用像素jpeg文件和加密的虚拟文件作为容器将被盗数据偷运到其命令和控制中心。 时至今日,安全专家们仍然在分析代码来确定这些通信所包含的信息。 

德国钢铁厂事件--2014

2014年,德国的一家主要钢铁厂成为复杂攻击的目标,德意志联邦信息安全局(BSI)报告了这次攻击。但是许多攻击的细节,包括所使用的恶意软件的性质和类型,公司的身份和安全报告等都被当局扣留了下来。

这种先进的攻击使用社会工程和鱼叉式钓鱼攻击相结合,可以进入钢铁厂的企业网络,通过使用企业网络和工业控制系统网络之间的联系,攻击者能够穿透制造和过程控制所涉及的网络,生产线由于受到攻击而长时间停机,本次攻击还造成中央厂房高炉的损坏,对工厂生产造成了非常严重的影响。

从一系列的攻击事件可以看出,从震网病毒出现开始,针对管业基础设施控制系统的网络攻击已经改变了原有的网络攻击形态,攻击可以成功破坏设备资产,并对人员造成身体伤害。此类攻击已被众多国家视作国家战略的基石之一以百万美元的投资即可获得相当于传统军事计划和部署中投入的数十亿美元收益,这也意味着更多关键基础设施控制系统网络正在成为攻击目标。

最新研究案例

们通过分析今年以来的几项攻击事件,做出以下列案例研究报告。这些案例所处行业和其中涉及的攻击手段颇具代表性。我们希望通过这些具体案例分析,帮助读者对工业控制系统网络攻击有新的认识。 

Case 1

全球某药品制造商-智能制造行业

我们的第一个案例是一家全球制药企业,企业拥有高度集成的自动化生产系统,自动化包装及仓储系统。涉及的资产包括一个非常庞大的工业控制系统以及一些额外的过程控制系统组件。

在我们介入调查之前,这个制造商并不知道控制网内部已遭到恶意软件感染并面临高级持久性威胁。企业管理者对于自己的网络防御措施相当自信,工业控制网络和集团网络之间通过部署网络安全设备套件实现“物理隔离”效果,控制网和办公协作网通过仅有的几条安全链路连。

我们在客户的工业控制网络中部署威胁感知系统,监控先进控制系统和数据采集系统(SCADA)的流量和异常行为。网络威胁感知系统可在发现设备资产存在异常活动时识别威胁并报警。

不出意料的,我们发现了SCADA系统操作站遭到蠕虫病毒感染:

该网络蠕虫通过扫描445端口上随机生成的IP地址来攻击网络。一旦建立连接,蠕虫将漏洞利用代码发送到目标计算机。漏洞利用代码会导致计算机使用TFTP协议下载蠕虫病毒副本并运行。随后,病毒连接到IRC服务器以接收攻击者的下一步命令,可能包括删除原始病毒代码、检索系统信息、下载更多恶意软件(可能是勒索软件),甚至通过纵向传播夺取RTU/PLC控制权。

我们在处理该病毒之后迅速开展调查,以了解恶意软件如何能够渗透到这个关键的安全网络。最终我们确定,感染来源于对工业控制系统维护和升级的供应商人员。

尽管有严格的经过授权的安全协议,但维护人员在将受感染的USB储存器插入停电恢复管理套件服务器(ORMS)进行升级过程中还是使病毒感染到制药厂, 病毒首先感染了服务器,并最终传染至工业控制系统中的操作站。

通过对该恶意软件的分析,我们发现还有另外两个操作站也受到损害,更糟糕的是,主机安全套件将病毒识别为 “关键文件”,并部署在关键区域。

威胁描述:

· MD5 - 7a67f7a8c844820c1bae3ebf720c1cd9

· 第二阶段感染 : tftp://x.x.x.x/a3048.exe

· 有效的文件名 : a3048.exe

通过本案例我们可得出如下结论:

1. “空气隔离”并不可靠,可以被USB存储器等介质所破坏。

2. 网络威胁感知技术有助于增强网络可视性,是传统安全解决方案的有效补充。对于未知的网络威胁可以确定其攻击来源、攻击类型、攻击对象、攻击波及面。

3. 操作站主机需要部署针对工业控制系统定制的主机免疫防护系统,对系统进程实时监控,并只允许可信进程运行。

服务热线
025-8660 3700

微信公众号