今日頭條
官方微信
官方抖音
資訊頻道近年來,隨著互聯網在工業控制系統中的廣泛應用,針對工業控制系統的各種網絡攻擊事件日益增多。本文為大家匯總了近年來典型工控網絡安全事件,讓大家充分了解工業控制系統所面臨的安全威脅,認識到工控網絡安全的重要性。
01 U盤傳播的震網病毒 破壞了伊朗的核計劃
時間:
2010年
地點:
伊朗
事件回顧:
2010年,震網病毒感染了全球超過20萬臺電腦,摧毀了伊朗濃縮鈾工廠五分之一的離心機。
事件分析:
震網病毒是一種首次發現于2010年的惡性蠕蟲電腦病毒,攻擊的目標是工業上使用的可編程邏輯控制器(PLC)。震網病毒的感染途經是通過U盤傳播,然后修改PLC控制軟件代碼,使PLC向用于分離濃縮鈾的離心機發出錯誤的命令。
與其他的惡性病毒不同,震網病毒看起來對普通的電腦和網絡似乎沒有什么危害。震網病毒只會感染Windows操作系統,然后在電腦上搜索一種西門子公司的PLC控制軟件。如果震網病毒在電腦上發現了PLC控制軟件,就會進一步感染PLC軟件。隨后,震網病毒會周期性的修改PLC工作頻率,造成PLC控制的離心機的旋轉速度突然升高和降低,導致高速旋轉的離心機發生異常震動和應力畸變,最終破壞離心機。
震網病毒的目標是伊朗的核工廠,位于納坦茲的濃縮鈾工廠需要大量的離心機來分離鈾235和鈾238,因此也廣泛使用了西門子公司的PLC及控制軟件。在2009年11月到2010年1月之間,震網病毒就摧毀了伊朗1000多臺離心機。在震網病毒的肆虐下,伊朗納坦茲的核工廠里可用的離心機數量從4700臺降低到3000多臺。到2010年,核工廠仍然因為技術問題多次停工,工廠的濃縮鈾分離能力比去年下降了30%。
02 歐洲SCADA系統遭到Havex病毒惡意襲擊
時間:
2014年
地點:
歐洲
事件回顧:
歐洲SCADA系統遭到Havex病毒惡意襲擊
事件分析:
在2014年時,安全研究人員發現了一種新的類似震網病毒的惡意軟件,并將其命名為:Havex。據稱,Havex也是被編寫來感染SCADA和工控系統中使用的工業控制軟件,這種木馬可能有能力禁用水電大壩、使核電站過載、甚至可以做到按一下鍵盤就能關閉一個國家的電網。
安全廠商F-Secure首先發現這種木馬并將其作為后門命名為W32/Havex.A,F-Secure稱它是一種通用的遠程訪問木馬(RAT,即remoteaccessTrojan),近來被用于從事工業間諜活動,主要攻擊對象是歐洲的許多使用和開發工業應用程序和機械設備的公司。要做到這點,除了諸如利用工具包和垃圾郵件等傳統感染方式外,網絡罪犯們還會使用另一種有效的方法傳播Havex,例如:滲透目標軟件公司的Web站點,并等待目標安裝那些合法APP的感染木馬的版本。在安裝過程中,該木馬軟件釋放一個叫做"mbcheck.dll"的文件,這個文件實際上就是攻擊者用作后門的Havex惡意代碼。
03 烏克蘭電網遭黑客攻擊事件
時間:
2015年
地點:
烏克蘭
事件回顧:
2016年初,據英國《金融時報》報道,烏克蘭電網系統遭黑客攻擊,數百戶家庭供電被迫中斷,這是有史以來首次導致停電的網絡攻擊。
事件分析:
據網絡間諜情報負責人表示,本次攻擊來自俄羅斯黑客組織,使用的惡意軟件被稱為BlackEnergy(黑暗力量)。
Black Energy(黑暗力量)最早可以追溯到2007年,由俄羅斯地下黑客組織開發并廣泛使用在BOTNET,主要用于建立僵尸網絡,對定向目標實施DDoS攻擊。Black Energy有一套完整的生成器,可以生成感染受害主機的客戶端程序和架構在C&C (指揮和控制)服務器的命令生成腳本。攻擊者利用這套黑客軟件可以方便地建立僵尸網絡,只需在C&C服務器下達簡單指令,僵尸網絡受害主機便統一執行其指令。
經過數年的發展,Black Energy逐漸加入了Rootkit技術,插件支持,遠程代碼執行, 數據采集等功能,已能夠根據攻擊目的和對象,由黑客來選擇特制插件進行APT攻擊。進一步升級,包括支持代理服務器,繞過用戶賬戶認證(UAC)技術,以及針對64位Windows系統的簽名驅動等等。
烏克蘭電廠遭襲事件是第一次經證實的計算機惡意程序導致停電的事件,證明了通過網絡攻擊手段是可以實現工業破壞的。
04 臺積電遭勒索病毒入侵,生產線全數停擺
時間:
2018年8月3日
地點:
中國臺灣
事件回顧:
8月3日晚間,臺積電突位于營運總部和新竹科學園區的的12英寸晶圓廠電腦,遭到勒索病毒入侵,生產線全數停擺。幾個小時之內,臺積電在臺灣北、中、南三處重要生產基地均未能幸免。
事件分析:
對于導致此次事故的原因,臺積電4日下午發布消息稱,主要是出于“新機臺在安裝軟件的過程中操作失誤”,導致病毒在新機臺連接到臺積電內部電腦網路時,發生病毒擴散。
據臺灣《自由時報》報道,業內人士研判,至于原因,很可能是Windows 7系統沒有升級補丁,或者沒有關閉445端口,從而導致WannaCry病毒入侵后迅速傳播到其他生產線中。臺積電生產車間的“天車”日系搬送設備,以及相關電腦都使用Windows 7系統。
WannaCry勒索病毒屬于NotPetya的變種,從去年開始爆發后,已經有至少150個國家、30萬名用戶中招,其造成的損失高達80億美元,影響到了金融、能源、醫療等眾多行業,造成嚴重的危機管理問題。我國也有大量Windows系統用戶遭到感染,校園網受害嚴重,大量實驗室數據和畢業設計被鎖定加密。還有部分大型企業應用系統和數據庫文件被加密后,無法正常工作。直到今天,我國每天仍有近千臺設備受其感染,導致生產停滯或重要信息丟失。
05 委內瑞拉全國停電,馬杜羅稱再度遭受美國“網絡攻擊”
時間:
2019年3月
地點:
委內瑞拉
事件回顧:
3月8日,周四晚上,古里水電站發生故障,導致委內瑞拉大部分地區斷電,委內瑞拉當局設法恢復了該國“許多地區”的電力供應。然而,該國總統表示,國家電網在周六再次遭受打擊,許多恢復的系統再次癱瘓。
事件分析:
委內瑞拉發生大規模停電后,該國總統馬杜羅指責美國“蓄意破壞”,而美國官員則將停電歸咎于委內瑞拉國內腐敗和管理不善。
早些時候,未經證實的報道稱,在委內瑞拉玻利瓦爾州西多變電站據稱發生爆炸,向天空噴出黑煙,隨后該國95%的地區再次斷電。據報道,自從古里發電廠發生故障以來,這個變電站一直在維持電力供應。古里發電廠生產了全國80%的電力。
委內瑞拉當局目前正試圖“人工”修復這些系統,同時努力“診斷出計算機化的系統為何會出現如此大規模的故障”。
委內瑞拉政府將周四的大停電歸咎于美國的“破壞”。總統尼古拉斯·馬杜羅指責華盛頓對本國“電力戰”,而通信和信息部長喬治·羅德里格斯則將停電歸咎于“美國精心策劃的網絡攻擊”。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號