今日頭條
官方微信
官方抖音
資訊頻道70%的IT和運(yùn)營(yíng)技術(shù)專(zhuān)業(yè)人員擔(dān)心網(wǎng)絡(luò)攻擊會(huì)造成計(jì)算機(jī)和工業(yè)系統(tǒng)的物理?yè)p壞,這些損壞不僅需要耗費(fèi)大量財(cái)力進(jìn)行災(zāi)后恢復(fù),嚴(yán)重的甚至可能危及人命。
今年3月,美國(guó)各機(jī)構(gòu)警告稱(chēng),俄羅斯政府部門(mén)正在針對(duì)美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行廣泛的攻擊活動(dòng),旨在確保在最敏感的網(wǎng)絡(luò)中站穩(wěn)腳跟。
攻擊者利用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件和水坑攻擊來(lái)危害受害者的計(jì)算機(jī)系統(tǒng)。根據(jù)美國(guó)國(guó)土安全部和聯(lián)邦調(diào)查局發(fā)布的警告稱(chēng),一旦這些惡意行為者在受害者網(wǎng)絡(luò)中立足,他們接下來(lái)就會(huì)進(jìn)行網(wǎng)絡(luò)偵察,收集用戶(hù)名和密碼等信息,以及利用其他額外的主機(jī)。
這些機(jī)構(gòu)警告基礎(chǔ)設(shè)施提供商稱(chēng),俄羅斯政府黑客的滲透行為應(yīng)該是準(zhǔn)備肆虐造成美國(guó)經(jīng)濟(jì)損失的第一步。
美國(guó)國(guó)土安全部和聯(lián)邦調(diào)查局在今年3月份發(fā)布的通知中指出,“美國(guó)國(guó)土安全部和聯(lián)邦調(diào)查局將這一活動(dòng)定性為由俄羅斯政府網(wǎng)絡(luò)行動(dòng)者組織的多階段入侵運(yùn)動(dòng),這些活動(dòng)針對(duì)的是小型商業(yè)設(shè)施的網(wǎng)絡(luò),他們?cè)谄渲邪惭b惡意軟件,進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)并獲得遠(yuǎn)程訪問(wèn)能源部門(mén)網(wǎng)絡(luò)的權(quán)限。在獲得訪問(wèn)權(quán)后,俄羅斯政府網(wǎng)絡(luò)行動(dòng)者就會(huì)進(jìn)行網(wǎng)絡(luò)偵察,橫向移動(dòng),收集有關(guān)工業(yè)控制系統(tǒng)的信息。”
隨著關(guān)鍵系統(tǒng)越來(lái)越多地與互聯(lián)網(wǎng)連接,網(wǎng)絡(luò)攻擊對(duì)物理基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)和影響——也就是所謂的“網(wǎng)絡(luò)-物理攻擊”——都在增長(zhǎng)。在很多情況下,將數(shù)字世界與物理世界連接起來(lái)的運(yùn)營(yíng)網(wǎng)絡(luò)中包含了更多老舊、落后的技術(shù),因此更為脆弱,也更難實(shí)現(xiàn)技術(shù)更新。
運(yùn)營(yíng)網(wǎng)絡(luò)安全提供商Claroty的聯(lián)合創(chuàng)始人兼業(yè)務(wù)開(kāi)發(fā)主管Galina Antova表示,“當(dāng)我們談?wù)撽P(guān)鍵基礎(chǔ)設(shè)施時(shí),其不僅僅只是電網(wǎng),而是世界上在工業(yè)網(wǎng)絡(luò)上運(yùn)行的一切。從網(wǎng)絡(luò)安全的角度來(lái)看,由于在這些網(wǎng)絡(luò)上運(yùn)行的多是遺留系統(tǒng),因此它們的安全性實(shí)際上相當(dāng)脆弱。”
這種脆弱性已經(jīng)在現(xiàn)實(shí)世界中得到了反復(fù)證明。烏克蘭電網(wǎng)已經(jīng)被俄羅斯襲擊者關(guān)閉;醫(yī)院運(yùn)營(yíng)受到勒索軟件攻擊的困擾;制造商和運(yùn)輸公司因勒索軟件而被迫停工;黑客甚至還用污水淹沒(méi)了濕地、造成鋼廠關(guān)閉,以及損壞了熔爐。
Juniper Networks威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad表示:“無(wú)論我們喜歡與否,我們都生活在一個(gè)互聯(lián)世界中。這意味著網(wǎng)絡(luò)攻擊面正在不斷增長(zhǎng),并與現(xiàn)實(shí)世界更為緊密地交織在一起。此外,世界各地的政治不穩(wěn)定局面以及明確歸因的困難性,都為進(jìn)攻性網(wǎng)絡(luò)能力提供了一片肥沃的土壤,使其能夠在相對(duì)不受懲罰的情況下肆意行使”。
以下五起網(wǎng)絡(luò)攻擊工控系統(tǒng)的典型案例:
1. 攻擊烏克蘭電網(wǎng)
一些國(guó)家的攻擊意圖是能夠在競(jìng)爭(zhēng)國(guó)的電網(wǎng)中站穩(wěn)腳跟。最近兩起成功的襲擊事件均與俄羅斯有關(guān),攻擊影響了烏克蘭發(fā)電公司的正常運(yùn)營(yíng),并為該國(guó)造成了嚴(yán)重的電力中斷局面。
2015年12月,網(wǎng)絡(luò)攻擊者利用他們?cè)跒蹩颂m能源網(wǎng)絡(luò)中的立足點(diǎn)關(guān)閉了三家電力配送公司,此次事件被稱(chēng)為“oblegnergos”,結(jié)果導(dǎo)致225,000家用戶(hù)在寒冷的冬季無(wú)電可用。盡管攻擊者破壞了電力公司對(duì)襲擊事件進(jìn)行調(diào)查的嘗試,但停電只持續(xù)了幾個(gè)小時(shí)。
一年后,攻擊者再次襲擊了烏克蘭的能源公司,將基輔市部分地區(qū)的電力中斷了大約一個(gè)小時(shí)。
由此,不難理解在一項(xiàng)針對(duì)能源領(lǐng)域151名安全專(zhuān)業(yè)人員進(jìn)行的調(diào)查結(jié)果顯示,70%的受訪者擔(dān)心網(wǎng)絡(luò)攻擊造成的“災(zāi)難性故障”。
Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin在一份聲明中表示:“能源公司已經(jīng)接受了數(shù)字威脅會(huì)帶來(lái)實(shí)際后果的事實(shí)。而且,這種看法可能會(huì)因?yàn)樽罱l(fā)生的一些旨在影響實(shí)際操作的攻擊行為而日漸加劇。”
2. WannaCry和NotPetya勒索軟件攻擊
2017年,兩款在全球范圍內(nèi)肆意傳播的勒索軟件攻擊——WannaCry和NotPetya——為國(guó)際社會(huì)造成了異常慘重的損失。其中,WannaCry于2017年5月發(fā)布,影響了英國(guó)醫(yī)院以及診所的系統(tǒng),導(dǎo)致其2萬(wàn)多個(gè)預(yù)約取消,并關(guān)閉了法國(guó)汽車(chē)制造商雷諾的工廠。
不到2個(gè)月的時(shí)間,一款名為NotPetya的勒索軟件再次席卷了全球眾多大型跨國(guó)公司,造成了數(shù)億美元的損失。據(jù)聯(lián)邦快遞(FedEx)估計(jì),此次攻擊為其造成了3億美元的損失;而制藥商Merck估計(jì),此次攻擊為其造成的銷(xiāo)售損失高達(dá)1.35億美元,單季度損失1.75億美元,而且預(yù)計(jì)最終的理賠將使整體損失翻倍。
隨著越來(lái)越多的關(guān)鍵業(yè)務(wù)系統(tǒng)連接到互聯(lián)網(wǎng),諸如勒索軟件等攻擊將對(duì)企業(yè)產(chǎn)生越來(lái)越大的影響。
Claroty公司的Antova表示,“像NotPetya這樣的攻擊是非常危險(xiǎn)的,因?yàn)樗鼈兛赡軙?huì)蔓延到商業(yè)和工業(yè)網(wǎng)絡(luò)中。作為一種副作用,惡意軟件可能會(huì)跨越這些邊界并造成損害。”
3. 網(wǎng)絡(luò)物理攻擊之父:“震網(wǎng)”(Stuxnet)
美國(guó)和以色列在Stuxnet病毒上的合作(有人指出該病毒是美國(guó)國(guó)家安全局和以色列軍方情報(bào)組織開(kāi)發(fā)的),成功地將網(wǎng)絡(luò)攻擊轉(zhuǎn)化為現(xiàn)實(shí)世界的實(shí)際損失。據(jù)悉,當(dāng)時(shí)有人故意把含有計(jì)算機(jī)病毒“震網(wǎng)”(Stuxnet)的U盤(pán)丟掉,讓伊朗核能設(shè)施的員工撿到,該員工把U盤(pán)插入計(jì)算機(jī)后,計(jì)算機(jī)立刻中毒。之后通過(guò)設(shè)施內(nèi)部網(wǎng)絡(luò)陸續(xù)控制了德國(guó)西門(mén)子制的PLC,讓數(shù)千臺(tái)離心機(jī)超載,造成物理性的破壞。據(jù)以色列情報(bào)機(jī)構(gòu)負(fù)責(zé)人所言,此次攻擊最終導(dǎo)致伊朗的核武開(kāi)發(fā)計(jì)劃延后了四年之久。
然而,這次攻擊也向世界展示了網(wǎng)絡(luò)攻擊可能對(duì)工業(yè)網(wǎng)絡(luò)造成的物理?yè)p害的規(guī)模。在短短幾年內(nèi),伊朗又對(duì)Saudi Aramco石油公司(沙特阿拉伯的國(guó)有石油生產(chǎn)商)的系統(tǒng)進(jìn)行了攻擊,對(duì)該公司成千上萬(wàn)個(gè)硬盤(pán)進(jìn)行了加密。2017年,類(lèi)似的代碼攻擊了Sadara公司——Aramco和Dow Chemical公司之間的聯(lián)合化學(xué)合作伙伴。2017年8月,在另一起針對(duì)沙特阿拉伯一家公司的攻擊活動(dòng)中,要不是由于代碼中存在一個(gè)錯(cuò)誤,將可能會(huì)引發(fā)爆炸。
Juniper公司的Hahad表示,“此次攻擊再一次突破了網(wǎng)絡(luò)物理攻擊的底線,因?yàn)槠淠康氖且S,而不再僅僅是感染系統(tǒng)、竊取情報(bào)等意圖。”
4. 澳大利亞馬盧奇污水處理廠非法入侵事件
2000年3月,澳大利亞昆士蘭新建的馬盧奇污水處理廠出現(xiàn)故障,無(wú)線連接信號(hào)丟失,污水泵工作異常,報(bào)警器也沒(méi)有報(bào)警。本以為是新系統(tǒng)的磨合問(wèn)題,后來(lái)發(fā)現(xiàn)是該廠前工程師Vitek Boden因不滿(mǎn)工作續(xù)約被拒而蓄意報(bào)復(fù)所為。
據(jù)悉,這位前工程師通過(guò)一臺(tái)手提電腦和一個(gè)無(wú)線發(fā)射器控制了大約140個(gè)污水泵站;前后三個(gè)多月,總計(jì)有100萬(wàn)公升的污水未經(jīng)處理直接經(jīng)雨水渠排入當(dāng)?shù)氐墓珗@和河流中,導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。最終,Boden因此次入侵行為被判入獄2年。
澳大利亞環(huán)境保護(hù)局調(diào)查經(jīng)理Janelle Bryant當(dāng)時(shí)表示,“此次事故造成大量海洋生物死亡,河水也開(kāi)始污染變黑,發(fā)出的惡臭味讓附近居民無(wú)法忍受,甚至?xí):用裆眢w健康。”
5. 德國(guó)鋼廠遭受“巨大損害
2014年底,德國(guó)聯(lián)邦信息安全辦公室(BSI)發(fā)布了一份《2014年信息安全報(bào)告》,這份長(zhǎng)達(dá)44頁(yè)的報(bào)告中披露了一起針對(duì)IT安全關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,并造成重大物理傷害。受攻擊方是德國(guó)的一個(gè)鋼鐵廠,遭受到高級(jí)持續(xù)性威脅(APT)攻擊。攻擊者使用魚(yú)叉式釣魚(yú)郵件和社會(huì)工程手段,獲得鋼廠辦公網(wǎng)絡(luò)的訪問(wèn)權(quán)。攻擊者技術(shù)非常熟練,且十分熟悉這些系統(tǒng),暗示著他們可能是國(guó)家支持的威脅行為者。
據(jù)悉,攻擊者在獲得鋼廠辦公網(wǎng)絡(luò)的訪問(wèn)權(quán)后,就利用這個(gè)網(wǎng)絡(luò),設(shè)法進(jìn)入到鋼鐵廠的生產(chǎn)網(wǎng)絡(luò)。攻擊者的行為導(dǎo)致工控系統(tǒng)的控制組件和整個(gè)生產(chǎn)線被迫停止運(yùn)轉(zhuǎn),由于不是正常的關(guān)閉煉鋼爐,從而給鋼廠帶來(lái)了重大破壞。
Claroty公司的Antova表示,隨著其他國(guó)家威脅行為者日益關(guān)注工控和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng),公司必須對(duì)網(wǎng)絡(luò)防御采取更為積極主動(dòng)的立場(chǎng)。她說(shuō),“我們不能全部寄希望于政府,政府所能做的不過(guò)是事故發(fā)生后的事件響應(yīng)和協(xié)助調(diào)查。我們必須采取正確的舉措,以更為積極的態(tài)度捍衛(wèi)自己公司的網(wǎng)絡(luò)系統(tǒng)并強(qiáng)化其安全性。”
來(lái)源:秦安戰(zhàn)略
北京市公安局海淀分局備案號(hào):11010802023656號(hào)