工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國(guó)家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”,超過80%的涉及國(guó)家民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動(dòng)化作業(yè)。工業(yè)控制系統(tǒng)在帶來便利的同時(shí),其網(wǎng)絡(luò)安全面臨設(shè)備高危漏洞、外國(guó)設(shè)備后門、APT、病毒、無線技術(shù)應(yīng)用帶來的威脅及風(fēng)險(xiǎn)將越來越大。
2018年能源行業(yè)五大工控網(wǎng)絡(luò)安全事件
俄黑客對(duì)美國(guó)核電站和供水設(shè)施攻擊事件
2018年3月,美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A,詳細(xì)描述了俄羅斯黑客針對(duì)美國(guó)某發(fā)電廠的網(wǎng)絡(luò)攻擊事件。
通告稱俄黑客組織通過(1)收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼;(2)盜用合法賬號(hào)發(fā)送魚叉式釣魚電子郵件;(3)在受信任網(wǎng)站插入JavaScrip或PHP代碼進(jìn)行水坑攻擊;(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;(5)構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。
本次攻擊的主要目的是以收集情報(bào)為主,攻擊者植入了收集信息的程序,該程序捕獲屏幕截圖,記錄有關(guān)計(jì)算機(jī)的詳細(xì)信息,并在該計(jì)算機(jī)上保存有關(guān)用戶帳戶的信息。此安全事件告誡我們:加強(qiáng)員工安全意識(shí)教育和管理是十分必要的,如密碼定期更換且不復(fù)用,安裝防病毒軟件并確保及時(shí)更新等。
中東石油和天然氣行業(yè)頻繁受到網(wǎng)絡(luò)攻擊
自2017年3月至今,近3/4的中東石油和天然氣工業(yè)組織經(jīng)歷了安全危害,導(dǎo)致其機(jī)密數(shù)據(jù)或操作技術(shù)中斷,在中東受到的所有網(wǎng)絡(luò)攻擊中石油和天然氣行業(yè)占據(jù)了一半的比例。
最嚴(yán)重的一次攻擊事件發(fā)生在2017年8月,沙特阿拉伯的一家石油工廠使用的Triconex安全控制器系統(tǒng)中存在漏洞,惡意軟件試圖利用漏洞破壞設(shè)備并企圖以此引發(fā)爆炸摧毀整個(gè)工廠,但由于惡意代碼寫入存在缺陷,未能引發(fā)爆炸。此安全事件告誡我們:對(duì)于工業(yè)控制系統(tǒng)要及時(shí)進(jìn)行更新,修復(fù)安全漏洞。
美國(guó)天然氣公司被攻擊導(dǎo)致交易系統(tǒng)關(guān)閉
2018年4月2日,美國(guó)能源公司Energy Services Group的天然氣管道客戶交易系統(tǒng)受到網(wǎng)絡(luò)攻擊,造成系統(tǒng)關(guān)閉數(shù)小時(shí),萬幸的是此次攻擊主要影響的是客戶賬單信息,并未對(duì)天然氣流量造成影響。天然氣管道客戶交易系統(tǒng)用于幫助管道運(yùn)營(yíng)商加快跟蹤和調(diào)度天然氣流量,此系統(tǒng)被關(guān)閉可能導(dǎo)致天然氣流量供應(yīng)異常。
烏克蘭能源部網(wǎng)站遭黑客攻擊要求支付贖金解鎖
2018年4月24日,烏克蘭能源和煤炭工業(yè)部網(wǎng)站遭黑客攻擊,網(wǎng)站癱瘓,主機(jī)中文件被加密,主頁留下要求支付比特幣贖金的英文信息,以此換取解鎖文件。經(jīng)過烏克蘭網(wǎng)絡(luò)警察部門調(diào)查,能源和煤炭工業(yè)部網(wǎng)站受到攻擊是一起孤立事件,不構(gòu)成大規(guī)模網(wǎng)絡(luò)攻擊。烏克蘭政府的其他部門和機(jī)構(gòu)網(wǎng)站沒有遭遇類似狀況。
印度電力公司遭勒索攻擊,大量客戶計(jì)費(fèi)數(shù)據(jù)被竊取鎖定
2018年3月21日,印度Uttar Haryana Bijli Vitran Nigam(簡(jiǎn)稱 UHBVN)電力公司的網(wǎng)絡(luò)系統(tǒng)遭到了匿名黑客組織入侵,黑客在獲取其計(jì)算機(jī)系統(tǒng)訪問權(quán)限后,進(jìn)一步侵入計(jì)費(fèi)系統(tǒng)并竊取和鎖定了大量客戶計(jì)費(fèi)數(shù)據(jù),同時(shí)向UHBVN公司勒索價(jià)值1000萬盧布(約15萬美元)的比特幣作為贖金。
據(jù)悉,UHBVN公司負(fù)責(zé)哈里亞納邦9大地區(qū)的電力供應(yīng)和費(fèi)用收取,客戶數(shù)量超過26萬名(包括民用、商用和工業(yè)用電),此次遭黑客竊取的數(shù)據(jù)是客戶的消費(fèi)賬單,包括電費(fèi)繳納記錄、未支付費(fèi)用及客戶地址等。UHBVN公司發(fā)言人表示,遭黑客竊取的數(shù)據(jù)庫進(jìn)行了加密處理,因此與之相關(guān)的數(shù)據(jù)并不會(huì)遭到泄露;此外,公司擁有該數(shù)據(jù)庫的備份并已完成了數(shù)據(jù)恢復(fù),不會(huì)有業(yè)務(wù)因此中斷或遭受損失。
2018年能源行業(yè)五大重大工控安全漏洞
羅克韋爾工控設(shè)備曝多項(xiàng)嚴(yán)重漏洞
2018年3月,思科Talos安全研究團(tuán)隊(duì)發(fā)文指出羅克韋爾自動(dòng)化公司的 Allen-Bradley MicroLogix 1400系列可編程邏輯控制器(PLC)中存在多項(xiàng)嚴(yán)重安全漏洞,這些漏洞可用來發(fā)起拒絕服務(wù)攻擊、篡改設(shè)備的配置和梯形邏輯、寫入或刪除內(nèi)存模塊上的數(shù)據(jù)等。該系列可編程邏輯控制器被各關(guān)鍵基礎(chǔ)設(shè)施部門廣泛運(yùn)用于工業(yè)控制系統(tǒng)(ICS)的執(zhí)行過程控制,一旦被利用將會(huì)導(dǎo)致嚴(yán)重的損害。思科Talos團(tuán)隊(duì)建議使用受影響設(shè)備的組織機(jī)構(gòu)將固件升級(jí)到最新版本,并盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)直接暴露在互聯(lián)網(wǎng)中。
思科網(wǎng)絡(luò)設(shè)備爆嚴(yán)重安全漏洞
2018年3月,思科公司發(fā)布了一個(gè)遠(yuǎn)程代碼執(zhí)行嚴(yán)重漏洞通告(CVE-2018-0171),通告了其網(wǎng)絡(luò)設(shè)備上使用的IOS和IOS-XE操作系統(tǒng)的Smart Install Client(用于設(shè)備即插即用配置和鏡像管理功能)代碼中存在一處緩沖區(qū)溢出漏洞。攻擊者無需通過身份驗(yàn)證就可向遠(yuǎn)端思科設(shè)備的 TCP 4786 端口發(fā)送精心構(gòu)造的惡意數(shù)據(jù)包觸發(fā)漏洞,從而遠(yuǎn)程執(zhí)行任意命令或?qū)е略O(shè)備停止服務(wù)。
該漏洞相關(guān)的技術(shù)細(xì)節(jié)和驗(yàn)證程序已經(jīng)公開,根據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)發(fā)布的公告顯示,全球約14.3萬臺(tái)設(shè)備面臨潛在威脅。俄羅斯和伊朗兩國(guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施近日已遭到利用此漏洞的網(wǎng)絡(luò)攻擊,進(jìn)而波及了兩國(guó)的ISP(互聯(lián)網(wǎng)服務(wù)提供商)、數(shù)據(jù)中心以及某些網(wǎng)站,黑客利用該漏洞將路由器重置為默認(rèn)配置,并向受害者顯示信息。目前,思科已發(fā)布該漏洞修復(fù)補(bǔ)丁及相關(guān)修復(fù)指南。
西門子繼電保護(hù)設(shè)備曝高危漏洞
2018年4月,ICS-CERT(美國(guó)工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組)發(fā)布安全通告稱使用EN100以太網(wǎng)通信模塊和DIGSI 4軟件的西門子繼電保護(hù)設(shè)備SIPROTEC 4、SIPROTEC Compact、Reyrolle存在三個(gè)高危漏洞,可能會(huì)被黑客利用來攻擊變電站和其他供電設(shè)施。
此類設(shè)備用于控制和保護(hù)變電站及其他電力基礎(chǔ)設(shè)施,當(dāng)這些漏洞被成功利用時(shí),攻擊者能夠通過覆蓋設(shè)備配置信息、嗅探網(wǎng)絡(luò)流量等方式獲取設(shè)備管理員口令,繼而導(dǎo)致電力設(shè)備保護(hù)功能中斷。
思科多款工控產(chǎn)品存在SAML身份驗(yàn)證系統(tǒng)漏洞
2018年4月,思科公司發(fā)布了一個(gè)關(guān)于SAML身份驗(yàn)證系統(tǒng)的嚴(yán)重漏洞通告(CVE-2018-0229)。該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過運(yùn)行ASA(自適應(yīng)安全設(shè)備軟件)或FTD(威脅防御軟件)來建立偽造的AnyConnect(桌面移動(dòng)客戶端軟件)會(huì)話, 從而開啟進(jìn)一步的網(wǎng)絡(luò)攻擊。AnyConnect、ASA、FTD等基礎(chǔ)套件被廣泛應(yīng)用于思科的工業(yè)安全設(shè)備、工業(yè)防火墻等設(shè)備中,一旦被利用將會(huì)導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),思科官方建議用戶通過升級(jí)補(bǔ)丁方式盡快對(duì)受影響設(shè)備進(jìn)行修復(fù)。
Moxa工業(yè)安全路由器爆多項(xiàng)嚴(yán)重漏洞
2018年4月,思科Talos安全研究團(tuán)隊(duì)發(fā)現(xiàn)Moxa公司的工業(yè)路由器EDR-810中存在17個(gè)安全漏洞,其中包括多個(gè)影響Web服務(wù)器功能的嚴(yán)重命令注入漏洞和導(dǎo)致服務(wù)器崩潰的拒絕服務(wù)(DOS)漏洞。EDR-810是Moxa公司2015年發(fā)布的一款集防火墻、交換機(jī)等多功能于一體的工業(yè)級(jí)多端口安全路由器,被廣泛應(yīng)用于工業(yè)控制系統(tǒng)中。這些發(fā)現(xiàn)的漏洞已在Moxa EDR-810 V4.1 build 17030317中得到確認(rèn),其早期版本的產(chǎn)品也可能受到了影響。目前,針對(duì)這些漏洞,Moxa公司已經(jīng)發(fā)布了新版固件以及相關(guān)修復(fù)指南。