工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))是由計(jì)算機(jī)設(shè)備與工業(yè)過程控制部件組成的自動(dòng)控制系統(tǒng),是工業(yè)設(shè)施與自動(dòng)化系統(tǒng)的中樞神經(jīng)。隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,工控系統(tǒng)的網(wǎng)絡(luò)化浪潮正在澎湃進(jìn)行中。接入因特網(wǎng),意味著工控系統(tǒng)這個(gè)“花瓶”正擺在“高臺(tái)”之上。這個(gè)“高臺(tái)”既是網(wǎng)絡(luò)攻擊的難度,也是國家安全的觸碰禁區(qū)。
前不久的“烏克蘭電力系統(tǒng)被黑事件”使人們意識(shí)到,這個(gè)“花瓶”也有“碎”的那一天。一旦電力系統(tǒng)被黑客入侵,停電是較低級(jí)的危害,不排除發(fā)生電力過載、爆炸等可怕后果,讓人萬分驚詫,甚至不寒而栗!
這個(gè)時(shí)候,國內(nèi)以知道創(chuàng)宇為代表的安全企業(yè)站了出來,基于網(wǎng)絡(luò)空間安全技術(shù)的領(lǐng)先實(shí)力,尤其是多年在工控系統(tǒng)安全領(lǐng)域的研究積累,率先對(duì)烏克蘭電力系統(tǒng)被黑事件進(jìn)行了深入分析,以揭開該事件背后的真相;同時(shí)綜合運(yùn)用多種手段,普查我國工業(yè)控制系統(tǒng)現(xiàn)狀,避免同樣的事情在我國上演,這正是一家負(fù)責(zé)任的網(wǎng)絡(luò)安全企業(yè)此時(shí)應(yīng)該做的事情。
在此之前,在2015KCon黑客大會(huì)上,曾有人以《工業(yè)網(wǎng)絡(luò)滲透直擊工控安全的罩門》為題介紹了入侵某工業(yè)控制系統(tǒng)的思路,僅限于小范圍的思路研討。半年以后的今天,烏克蘭電力系統(tǒng)被黑事件正在引發(fā)全球性的熱議,對(duì)工業(yè)控制系統(tǒng)的攻擊已經(jīng)從純技術(shù)交流轉(zhuǎn)變?yōu)榘l(fā)生在身邊的現(xiàn)實(shí)事件。
烏克蘭電力被黑事件解析
這次的烏克蘭電力系統(tǒng)被黑事件到底是怎么發(fā)生的?目前一些細(xì)節(jié)已被外媒刊出,國內(nèi)也有媒體作了轉(zhuǎn)譯報(bào)道。根據(jù)各方分析顯示,烏克蘭電力系統(tǒng)感染了一款名為BlackEnergy的惡意軟件,該惡意軟件背后直指俄羅斯“沙蟲(Sandworm)”黑客組織,而最新報(bào)道稱烏克蘭國家安全局指責(zé)俄羅斯就是此次電力攻擊事件的幕后黑手,烏方已發(fā)現(xiàn)并成功移除了相關(guān)惡意軟件。知道創(chuàng)宇目前完成了對(duì)BlackEnergy軟件演進(jìn)過程及影響事件的分析,具體如下表所示:
BlackEnergy演進(jìn)及影響事件表
筆者從知道創(chuàng)宇安全團(tuán)隊(duì)處獲悉,他們已完成對(duì)26個(gè)相關(guān)病毒樣本的研究分析。但從代碼特征上看,不能排除其它黑客組織利用了BlackEnergy來達(dá)到相關(guān)目的的可能性。該事件背后的真實(shí)操控者到底是何方神圣,有待更多的證據(jù)來證實(shí)。
知道創(chuàng)宇安全團(tuán)隊(duì)結(jié)合網(wǎng)絡(luò)上公開報(bào)道中提及的技術(shù)信息,以及自主的病毒樣本分析結(jié)果,對(duì)此次事件的攻擊流程進(jìn)行了假想性復(fù)原:
1. 攻擊者使用 Office 沙蟲漏洞(CVE-2014-4114)進(jìn)行水坑攻擊,受害主機(jī)執(zhí)行惡意程序與遠(yuǎn)端C&C服務(wù)器進(jìn)行交互,一些系統(tǒng)信息會(huì)被發(fā)送到C&C服務(wù)端上;
2. 沙蟲(宏病毒)進(jìn)行惡意操作,利用工控 HMI 的遠(yuǎn)程執(zhí)行漏洞(CVE-2014-0751)進(jìn)行內(nèi)網(wǎng)攻擊,控制內(nèi)網(wǎng)的 HMI(可能涉及 GE Cimplicity, Advantech/BroadwinWebAccess,Siemens WinCC等工控的 HMI,這些 HMI 已由ZoomEye網(wǎng)絡(luò)空間測繪雷達(dá)探查確認(rèn));
3. 攻擊者向HMI植入BlackEnergy,BlackEnergy開啟Dropbear SSH 后門,開啟6789 端口;
4.攻擊者遠(yuǎn)程啟動(dòng)BlackEnergy的KillDisk組件破壞主機(jī)磁盤,從而造成破壞性影響。
攻擊過程可能還用到了諸如reDuh、Weevely 3、Dropbear、DSEFix等黑客工具。
杜絕類似事件在我國上演
目前,烏克蘭電力系統(tǒng)被黑事件的相關(guān)病毒樣本特征已被知道創(chuàng)宇收錄到旗下“云圖威脅分析系統(tǒng)”之中,通過該系統(tǒng)可以對(duì)惡意流量進(jìn)行檢測、實(shí)施阻斷,形成針對(duì)性的防護(hù)能力,確保類似事件不在我國上演。
同時(shí),知道創(chuàng)宇利用旗下ZoomEye網(wǎng)絡(luò)空間測繪雷達(dá)對(duì)全球工控設(shè)備組件進(jìn)行偵測分析,整理出臺(tái)了《暴露在 Internet 上的工業(yè)控制設(shè)備》的報(bào)告,該報(bào)告涉及交通、能源、水利等多個(gè)領(lǐng)域,從中發(fā)現(xiàn)我國有一些重要工業(yè)控制系統(tǒng)正處于嚴(yán)重的安全威脅之中。
全球及我國(含臺(tái)灣)暴露在 Internet 上的工業(yè)控制設(shè)備統(tǒng)計(jì)
Siemens S7 設(shè)備我國暴露分布圖
EtherNet/IP 設(shè)備我國暴露分布圖
BACnet設(shè)備我國暴露分布圖
Crimson V3 設(shè)備我國暴露分布圖
(以上為原報(bào)告中的部分?jǐn)?shù)據(jù)截圖)
可以看出,我國大陸地區(qū)長春、合肥、南京等城市,以及我國臺(tái)灣地區(qū)的工控系統(tǒng)面臨較大安全風(fēng)險(xiǎn),建議這些地區(qū)快速整改,加強(qiáng)針對(duì)性防護(hù)措施。
知道創(chuàng)宇已將大量工作成果進(jìn)行全面分析整理,從烏克蘭電網(wǎng)被攻擊事件出發(fā),形成了我國工業(yè)控制系統(tǒng)安全調(diào)研白皮書,已第一時(shí)間上報(bào)我國信息安全主管部門,為增強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施的安全和我國互聯(lián)網(wǎng)空間的安全,積極貢獻(xiàn)自己的力量。據(jù)悉,知道創(chuàng)宇安全團(tuán)隊(duì)仍在進(jìn)行緊張的工作,努力繪制互聯(lián)網(wǎng)空間的工業(yè)控制系統(tǒng)威脅地圖。我們也將持續(xù)予以關(guān)注。