大多數(shù)關鍵基礎設施，如石油精煉廠、能源公共事業(yè)等，都很難獲得他們的專有信息。將原油精煉成汽油需要的是科學，而不是秘制醬汁。電力行業(yè)也是如此。

　　那么問題來了，為什么高級黑客要采用與攻陷IT行業(yè)相同的高級持續(xù)性威脅(APT)風格的數(shù)據(jù)滲透技術來對付關鍵基礎設施呢？這是因為它們同為情報收集。

　　“他們不竊取財務數(shù)據(jù)，也不拿走’收購和并購案’消息。他們只取走與工業(yè)控制系統(tǒng)(ICS)基礎設施內(nèi)部運作相關的信息。”——德萬·喬杜里，尖端網(wǎng)絡安全產(chǎn)品公司MalCrawler主要負責人，資深工控系統(tǒng)和數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)安全顧問。“他們想要定義煉油廠運行方式的可編程邏輯控制器(PLC)模板，想要電力輸送.asr(行為腳本遠程文件)方案。”

　　這些攻擊的最終目的，尤其是在喬杜里耗費時間最多的中東地帶，通常是搞破壞。收集這些情報可以幫助黑客們將惡意軟件和攻擊方式當做武器，破壞煉油進程或電力輸送，影響世界經(jīng)濟。

　　“搞破壞是最恐怖的事。在IT界，搞破壞無非就是刪除文件或偷走數(shù)據(jù)庫。但從安全角度看，當你能對有形資產(chǎn)造成沖擊并帶來損害的時候，事情就可怕了。”

　　喬杜里提到了一個從工控系統(tǒng)偷取的信息引發(fā)能源基礎設施遭受攻擊的案例。這個案例里，中東一家天然氣供應商的管道正在經(jīng)受壓力問題，但SCADA主控系統(tǒng)看起來毫無異樣，還在報告一切正常。不過，實地檢查的時候發(fā)現(xiàn)有間控制室被闖入過，后續(xù)對工控系統(tǒng)設備的調(diào)查中又發(fā)現(xiàn)該設備注冊表中被新建了一項服務，持續(xù)向SCADA主控制器發(fā)送虛假信息的同時操控某遠程終端進行錯誤動作。

　　“想要真正打擊到像電網(wǎng)這樣的設施，你需要獲取到其內(nèi)部運作相關的信息。”喬杜里說，“ASR是怎樣設置的？煉油廠中品質(zhì)控制是何時介入的？這些就是你要操縱并化為武器所需的數(shù)據(jù)。”

　　換句話說，這已經(jīng)不是黑客前輩們玩的APT了。

　　說到電網(wǎng)，攻擊者可以關停整個電網(wǎng)的老一套說法其實是個謬誤，好萊塢大片式的誤導，因為電網(wǎng)或通信網(wǎng)等重要基礎設施網(wǎng)絡，均內(nèi)建了冗余機制(微信關注“安全牛”，回復“互聯(lián)網(wǎng)崩潰”可看詳細)。相反，這是一個很有效的營銷和宣傳工具，政客們想為新規(guī)范或其他議程制造緊迫感的時候就拿來用上一把。

   　　“電網(wǎng)設計上有自我保護功能，能夠抵御颶風、龍卷風。而且這種設計思路自電網(wǎng)出現(xiàn)那天起就一直延續(xù)下來。并且，即使電網(wǎng)的某部分故障了，也不會影響到其他部分。”但是，也曾出現(xiàn)過對工業(yè)造成重大破壞的攻擊事件。其中最著名的就是利用沙蒙病毒(Shamoonwiper)攻擊沙特阿美石油公司導致3萬臺windows工作站被棄用的事件。去年11月，工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組發(fā)布了一份公告，警告工控系統(tǒng)的運營者已出現(xiàn)被惡意軟件“黑色力量(BlackEnergy)”利用的漏洞，即沙蟲APT零日漏洞。另外，安全牛去年底報道過一起針對德國鋼鐵廠IT安全關鍵基礎設施的網(wǎng)絡攻擊，造成重大物理傷害。

　　卡巴斯基實驗室的研究員們當時針對“黑色力量”發(fā)布過一份報告，稱發(fā)現(xiàn)有部分插件被用于偷竊密碼、數(shù)字憑證等信息。其中更為棘手的一個插件名為“dstr”，是攻擊者懷疑自己被發(fā)現(xiàn)時用隨機數(shù)據(jù)重寫硬盤破壞痕跡的命令行工具。

　　喬杜里說自己希望看到在工控安全界也出現(xiàn)類似幾年前軟件開發(fā)圈里興起的在開發(fā)生命周期伊始便致力做好安全防護的布道努力。

　　“在IT界，加強安全意識的努力已經(jīng)初見成效；很多應用層的東西相比5年前已經(jīng)很難對系統(tǒng)造成破壞了。”但工控界仍毫無所覺，真正的挑戰(zhàn)也許在于文化意識上的，因為工控界，是由工程師們而不是由IT極客們把持。“網(wǎng)絡社區(qū)應該將工程師們也納入進來，讓他們看到殘酷的現(xiàn)實。”

　　在一些圈子里，依然存留有事后處置比事前預防更經(jīng)濟的想法。不過，喬杜里說，在電力設施行業(yè)，舉個例子，北美電力可靠性協(xié)會(NERC)制定的規(guī)范就不僅包括了安全檢查表，還迫使廠商在電容器組或電壓網(wǎng)絡調(diào)節(jié)閥上加裝如互聯(lián)網(wǎng)協(xié)議安全性(IPSec)或遠程認證撥號用戶服務(RADIUS)之類的安全控制措施。

　　“這可是大事件，”喬杜里說。

　　安全牛評：挖掘工控系統(tǒng)的漏洞其實并不難，只是由于其封閉性，很難搭建模擬環(huán)境進行研究。雖然被黑的幾率小，可一旦被入侵，嚴重性不可估量。而且，我國的關鍵基礎設施領域，大量采用國外的工控系統(tǒng)和設備，因而面臨更嚴重的安全威脅。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：揭秘黑客如何破壞關鍵基礎設施：獲取工控系統(tǒng)運行信息

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121517983.html