在IT界,搞破坏无非就是删除文件或偷走数据库。但从安全角度看,当你能对有形资产造成冲击并带来损害的时候,事情就可怕了……大多数关键基础设施,如石油精炼厂、能源公共事业等,都很难获得他们的专有信息。将原油精炼成汽油需要的是科学,而不是秘制酱汁,电力行业也是如此。
那么问题来了,为什么高级黑客要采用与攻陷IT行业相同的高级持续性威胁(APT)风格的数据渗透技术来对付关键基础设施呢?这是因为它们同为情报收集。
“他们不窃取财务数据,也不拿走'收购和并购案'消息。他们只取走与工业控制系统(ICS)基础设施内部运作相关的信息。”——德万·乔杜里,尖端网络安全产品公司MalCrawler主要负责人,资深工控系统和数据采集与监控系统(SCADA)安全顾问。“他们想要定义炼油厂运行方式的可编程逻辑控制器(PLC)模板,想要电力输送.asr(行为脚本远程文件)方案。”
这些攻击的最终目的,尤其是在乔杜里耗费时间最多的中东地带,通常是搞破坏。收集这些情报可以帮助黑客们将恶意软件和攻击方式当做武器,破坏炼油进程或电力输送,影响世界经济。
“搞破坏是最恐怖的事。在IT界,搞破坏无非就是删除文件或偷走数据库。但从安全角度看,当你能对有形资产造成冲击并带来损害的时候,事情就可怕了。”
乔杜里提到了一个从工控系统偷取的信息引发能源基础设施遭受攻击的案例。这个案例里,中东一家天然气供应商的管道正在经受压力问题,但SCADA主控系统看起来毫无异样,还在报告一切正常。不过,实地检查的时候发现有间控制室被闯入过,后续对工控系统设备的调查中又发现该设备注册表中被新建了一项服务,持续向SCADA主控制器发送虚假信息的同时操控某远程终端进行错误动作。
“想要真正打击到像电网这样的设施,你需要获取到其内部运作相关的信息。”乔杜里说,“ASR是怎样设置的?炼油厂中品质控制是何时介入的?这些就是你要操纵并化为武器所需的数据。”
换句话说,这已经不是黑客前辈们玩的APT了。
说到电网,攻击者可以关停整个电网的老一套说法其实是个谬误,好莱坞大片式的误导,因为电网或通信网等重要基础设施网络,均内建了冗余机制。相反,这是一个很有效的营销和宣传工具,政客们想为新规范或其他议程制造紧迫感的时候就拿来用上一把。
“电网设计上有自我保护功能,能够抵御飓风、龙卷风。而且这种设计思路自电网出现那天起就一直延续下来。并且,即使电网的某部分故障了,也不会影响到其他部分。”但是,也曾出现过对工业造成重大破坏的攻击事件。其中最著名的就是利用沙蒙病毒(Shamoonwiper)攻击沙特阿美石油公司导致3万台windows工作站被弃用的事件。去年11月,工业控制系统网络应急响应小组发布了一份公告,警告工控系统的运营者已出现被恶意软件“黑色力量(BlackEnergy)”利用的漏洞,即沙虫APT零日漏洞。另外,安全牛去年底报道过一起针对德国钢铁厂IT安全关键基础设施的网络攻击,造成重大物理伤害。
卡巴斯基实验室的研究员们当时针对“黑色力量”发布过一份报告,称发现有部分插件被用于偷窃密码、数字凭证等信息。其中更为棘手的一个插件名为“dstr”,是攻击者怀疑自己被发现时用随机数据重写硬盘破坏痕迹的命令行工具。
乔杜里说自己希望看到在工控安全界也出现类似几年前软件开发圈里兴起的在开发生命周期伊始便致力做好安全防护的布道努力。
“在IT界,加强安全意识的努力已经初见成效;很多应用层的东西相比5年前已经很难对系统造成破坏了。”但工控界仍毫无所觉,真正的挑战也许在于文化意识上的,因为工控界,是由工程师们而不是由IT极客们把持。“网络社区应该将工程师们也纳入进来,让他们看到残酷的现实。”
在一些圈子里,依然存留有事后处置比事前预防更经济的想法。不过,乔杜里说,在电力设施行业,举个例子,北美电力可靠性协会(NERC)制定的规范就不仅包括了安全检查表,还迫使厂商在电容器组或电压网络调节阀上加装如互联网协议安全性(IPSec)或远程认证拨号用户服务(RADIUS)之类的安全控制措施。