70%的IT和運營技術專業人員擔心網絡攻擊會造成計算機和工業系統的物理損壞,這些損壞不僅需要耗費大量財力進行災後恢復,嚴重的甚至可能危及人命。
今年3月,美國各機構警告稱,俄羅斯政府部門正在針對美國的關鍵基礎設施進行廣泛的攻擊活動,旨在確保在最敏感的網絡中站穩腳跟。
攻擊者利用魚叉式網絡釣魚郵件和水坑攻擊來危害受害者的計算機系統。根據美國國土安全部和聯邦調查局發佈的警告稱,一旦這些惡意行爲者在受害者網絡中立足,他們接下來就會進行網絡偵察,收集用戶名和密碼等信息,以及利用其他額外的主機。
這些機構警告基礎設施提供商稱,俄羅斯政府黑客的滲透行爲應該是準備肆虐造成美國經濟損失的第一步。
美國國土安全部和聯邦調查局在今年3月份發佈的通知中指出,“美國國土安全部和聯邦調查局將這一活動定性爲由俄羅斯政府網絡行動者組織的多階段入侵運動,這些活動針對的是小型商業設施的網絡,他們在其中安裝惡意軟件,進行魚叉式網絡釣魚並獲得遠程訪問能源部門網絡的權限。在獲得訪問權後,俄羅斯政府網絡行動者就會進行網絡偵察,橫向移動,收集有關工業控制系統的信息。”
隨着關鍵系統越來越多地與互聯網連接,網絡攻擊對物理基礎設施的風險和影響——也就是所謂的“網絡-物理攻擊”——都在增長。在很多情況下,將數字世界與物理世界連接起來的運營網絡中包含了更多老舊、落後的技術,因此更爲脆弱,也更難實現技術更新。
運營網絡安全提供商Claroty的聯合創始人兼業務開發主管Galina Antova表示,“當我們談論關鍵基礎設施時,其不僅僅只是電網,而是世界上在工業網絡上運行的一切。從網絡安全的角度來看,由於在這些網絡上運行的多是遺留系統,因此它們的安全性實際上相當脆弱。”
這種脆弱性已經在現實世界中得到了反覆證明。烏克蘭電網已經被俄羅斯襲擊者關閉;醫院運營受到勒索軟件攻擊的困擾;製造商和運輸公司因勒索軟件而被迫停工;黑客甚至還用污水淹沒了溼地、造成鋼廠關閉,以及損壞了熔爐。
Juniper Networks威脅實驗室負責人Mounir Hahad表示:“無論我們喜歡與否,我們都生活在一個互聯世界中。這意味着網絡攻擊面正在不斷增長,並與現實世界更爲緊密地交織在一起。此外,世界各地的政治不穩定局面以及明確歸因的困難性,都爲進攻性網絡能力提供了一片肥沃的土壤,使其能夠在相對不受懲罰的情況下肆意行使”。
以下五起網絡攻擊工控系統的典型案例:
- 攻擊烏克蘭電網
一些國家的攻擊意圖是能夠在競爭國的電網中站穩腳跟。最近兩起成功的襲擊事件均與俄羅斯有關,攻擊影響了烏克蘭發電公司的正常運營,併爲該國造成了嚴重的電力中斷局面。
2015年12月,網絡攻擊者利用他們在烏克蘭能源網絡中的立足點關閉了三家電力配送公司,此次事件被稱爲“oblegnergos”,結果導致225,000家用戶在寒冷的冬季無電可用。儘管攻擊者破壞了電力公司對襲擊事件進行調查的嘗試,但停電只持續了幾個小時。
一年後,攻擊者再次襲擊了烏克蘭的能源公司,將基輔市部分地區的電力中斷了大約一個小時。
由此,不難理解在一項針對能源領域151名安全專業人員進行的調查結果顯示,70%的受訪者擔心網絡攻擊造成的“災難性故障”。
Tripwire產品管理和戰略副總裁Tim Erlin在一份聲明中表示:“能源公司已經接受了數字威脅會帶來實際後果的事實。而且,這種看法可能會因爲最近發生的一些旨在影響實際操作的攻擊行爲而日漸加劇。”
- WannaCry和NotPetya勒索軟件攻擊
2017年,兩款在全球範圍內肆意傳播的勒索軟件攻擊——WannaCry和NotPetya——爲國際社會造成了異常慘重的損失。其中,WannaCry於2017年5月發佈,影響了英國醫院以及診所的系統,導致其2萬多個預約取消,並關閉了法國汽車製造商雷諾的工廠。
不到2個月的時間,一款名爲NotPetya的勒索軟件再次席捲了全球衆多大型跨國公司,造成了數億美元的損失。據聯邦快遞(FedEx)估計,此次攻擊爲其造成了3億美元的損失;而製藥商Merck估計,此次攻擊爲其造成的銷售損失高達1.35億美元,單季度損失1.75億美元,而且預計最終的理賠將使整體損失翻倍。
隨着越來越多的關鍵業務系統連接到互聯網,諸如勒索軟件等攻擊將對企業產生越來越大的影響。
Claroty公司的Antova表示,“像NotPetya這樣的攻擊是非常危險的,因爲它們可能會蔓延到商業和工業網絡中。作爲一種副作用,惡意軟件可能會跨越這些邊界並造成損害。”
- 網絡物理攻擊之父:“震網”(Stuxnet)
美國和以色列在Stuxnet病毒上的合作(有人指出該病毒是美國國家安全局和以色列軍方情報組織開發的),成功地將網絡攻擊轉化爲現實世界的實際損失。據悉,當時有人故意把含有計算機病毒“震網”(Stuxnet)的U盤丟掉,讓伊朗核能設施的員工撿到,該員工把U盤插入計算機後,計算機立刻中毒。之後通過設施內部網絡陸續控制了德國西門子制的PLC,讓數千臺離心機超載,造成物理性的破壞。據以色列情報機構負責人所言,此次攻擊最終導致伊朗的核武開發計劃延後了四年之久。
然而,這次攻擊也向世界展示了網絡攻擊可能對工業網絡造成的物理損害的規模。在短短几年內,伊朗又對Saudi Aramco石油公司(沙特阿拉伯的國有石油生產商)的系統進行了攻擊,對該公司成千上萬個硬盤進行了加密。2017年,類似的代碼攻擊了Sadara公司——Aramco和Dow Chemical公司之間的聯合化學合作伙伴。2017年8月,在另一起針對沙特阿拉伯一家公司的攻擊活動中,要不是由於代碼中存在一個錯誤,將可能會引發爆炸。
Juniper公司的Hahad表示,“此次攻擊再一次突破了網絡物理攻擊的底線,因爲其目的是引爆工廠,而不再僅僅是感染系統、竊取情報等意圖。”
- 澳大利亞馬盧奇污水處理廠非法入侵事件
2000年3月,澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障,無線連接信號丟失,污水泵工作異常,報警器也沒有報警。本以爲是新系統的磨合問題,後來發現是該廠前工程師Vitek Boden因不滿工作續約被拒而蓄意報復所爲。
據悉,這位前工程師通過一臺手提電腦和一個無線發射器控制了大約140個污水泵站;前後三個多月,總計有100萬公升的污水未經處理直接經雨水渠排入當地的公園和河流中,導致當地環境受到嚴重破壞。最終,Boden因此次入侵行爲被判入獄2年。
澳大利亞環境保護局調查經理Janelle Bryant當時表示,“此次事故造成大量海洋生物死亡,河水也開始污染變黑,發出的惡臭味讓附近居民無法忍受,甚至會危害居民身體健康。”
- 德國鋼廠遭受“巨大損害”
2014年底,德國聯邦信息安全辦公室(BSI)發佈了一份《2014年信息安全報告》,這份長達44頁的報告中披露了一起針對IT安全關鍵基礎設施的網絡攻擊,並造成重大物理傷害。受攻擊方是德國的一個鋼鐵廠,遭受到高級持續性威脅(APT)攻擊。攻擊者使用魚叉式釣魚郵件和社會工程手段,獲得鋼廠辦公網絡的訪問權。攻擊者技術非常熟練,且十分熟悉這些系統,暗示着他們可能是國家支持的威脅行爲者。
據悉,攻擊者在獲得鋼廠辦公網絡的訪問權後,就利用這個網絡,設法進入到鋼鐵廠的生產網絡。攻擊者的行爲導致工控系統的控制組件和整個生產線被迫停止運轉,由於不是正常的關閉鍊鋼爐,從而給鋼廠帶來了重大破壞。
Claroty公司的Antova表示,隨着其他國家威脅行爲者日益關注工控和關鍵基礎設施系統,公司必須對網絡防禦採取更爲積極主動的立場。她說,“我們不能全部寄希望於政府,政府所能做的不過是事故發生後的事件響應和協助調查。我們必須採取正確的舉措,以更爲積極的態度捍衛自己公司的網絡系統並強化其安全性。”
來源:秦安