近年來(lái)，隨著(zhù)互聯(lián)網(wǎng)在工業(yè)控制系統中的廣泛應用，針對工業(yè)控制系統的各種網(wǎng)絡(luò )攻擊事件日益增多。本文為大家匯總了近年來(lái)典型工控網(wǎng)絡(luò )安全事件，讓大家充分了解工業(yè)控制系統所面臨的安全威脅，認識到工控網(wǎng)絡(luò )安全的重要性。

01 U盤(pán)傳播的震網(wǎng)病毒 破壞了伊朗的核計劃

時(shí)間：

2010年

地點(diǎn)：

伊朗

事件回顧：

2010年，震網(wǎng)病毒感染了全球超過(guò)20萬(wàn)臺電腦，摧毀了伊朗濃縮鈾工廠(chǎng)五分之一的離心機。

事件分析：

震網(wǎng)病毒是一種首次發(fā)現于2010年的惡性蠕蟲(chóng)電腦病毒，攻擊的目標是工業(yè)上使用的可編程邏輯控制器（PLC）。震網(wǎng)病毒的感染途經(jīng)是通過(guò)U盤(pán)傳播，然后修改PLC控制軟件代碼，使PLC向用于分離濃縮鈾的離心機發(fā)出錯誤的命令。

與其他的惡性病毒不同，震網(wǎng)病毒看起來(lái)對普通的電腦和網(wǎng)絡(luò )似乎沒(méi)有什么危害。震網(wǎng)病毒只會(huì )感染W(wǎng)indows操作系統，然后在電腦上搜索一種西門(mén)子公司的PLC控制軟件。如果震網(wǎng)病毒在電腦上發(fā)現了PLC控制軟件，就會(huì )進(jìn)一步感染PLC軟件。隨后，震網(wǎng)病毒會(huì )周期性的修改PLC工作頻率，造成PLC控制的離心機的旋轉速度突然升高和降低，導致高速旋轉的離心機發(fā)生異常震動(dòng)和應力畸變，最終破壞離心機。

震網(wǎng)病毒的目標是伊朗的核工廠(chǎng)，位于納坦茲的濃縮鈾工廠(chǎng)需要大量的離心機來(lái)分離鈾235和鈾238，因此也廣泛使用了西門(mén)子公司的PLC及控制軟件。在2009年11月到2010年1月之間，震網(wǎng)病毒就摧毀了伊朗1000多臺離心機。在震網(wǎng)病毒的肆虐下，伊朗納坦茲的核工廠(chǎng)里可用的離心機數量從4700臺降低到3000多臺。到2010年，核工廠(chǎng)仍然因為技術(shù)問(wèn)題多次停工，工廠(chǎng)的濃縮鈾分離能力比去年下降了30%。

時(shí)間：

2014年

地點(diǎn)：

歐洲

事件回顧：

歐洲SCADA系統遭到Havex病毒惡意襲擊

事件分析：

在2014年時(shí)，安全研究人員發(fā)現了一種新的類(lèi)似震網(wǎng)病毒的惡意軟件，并將其命名為：Havex。據稱(chēng)，Havex也是被編寫(xiě)來(lái)感染SCADA和工控系統中使用的工業(yè)控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過(guò)載、甚至可以做到按一下鍵盤(pán)就能關(guān)閉一個(gè)國家的電網(wǎng)。

安全廠(chǎng)商F-Secure首先發(fā)現這種木馬并將其作為后門(mén)命名為W32/Havex.A，F-Secure稱(chēng)它是一種通用的遠程訪(fǎng)問(wèn)木馬(RAT,即remoteaccessTrojan)，近來(lái)被用于從事工業(yè)間諜活動(dòng)，主要攻擊對象是歐洲的許多使用和開(kāi)發(fā)工業(yè)應用程序和機械設備的公司。要做到這點(diǎn)，除了諸如利用工具包和垃圾郵件等傳統感染方式外，網(wǎng)絡(luò )罪犯們還會(huì )使用另一種有效的方法傳播Havex，例如：滲透目標軟件公司的Web站點(diǎn)，并等待目標安裝那些合法APP的感染木馬的版本。在安裝過(guò)程中，該木馬軟件釋放一個(gè)叫做"mbcheck.dll"的文件，這個(gè)文件實(shí)際上就是攻擊者用作后門(mén)的Havex惡意代碼。

時(shí)間：

2015年

地點(diǎn)：

烏克蘭

事件回顧：

2016年初，據英國《金融時(shí)報》報道，烏克蘭電網(wǎng)系統遭黑客攻擊，數百戶(hù)家庭供電被迫中斷，這是有史以來(lái)首次導致停電的網(wǎng)絡(luò )攻擊。

事件分析：

據網(wǎng)絡(luò )間諜情報負責人表示，本次攻擊來(lái)自俄羅斯黑客組織，使用的惡意軟件被稱(chēng)為BlackEnergy（黑暗力量）。

Black Energy（黑暗力量）最早可以追溯到2007年，由俄羅斯地下黑客組織開(kāi)發(fā)并廣泛使用在BOTNET，主要用于建立僵尸網(wǎng)絡(luò )，對定向目標實(shí)施DDoS攻擊。Black Energy有一套完整的生成器，可以生成感染受害主機的客戶(hù)端程序和架構在C&C (指揮和控制)服務(wù)器的命令生成腳本。攻擊者利用這套黑客軟件可以方便地建立僵尸網(wǎng)絡(luò )，只需在C&C服務(wù)器下達簡(jiǎn)單指令，僵尸網(wǎng)絡(luò )受害主機便統一執行其指令。

經(jīng)過(guò)數年的發(fā)展，Black Energy逐漸加入了Rootkit技術(shù)，插件支持，遠程代碼執行， 數據采集等功能，已能夠根據攻擊目的和對象，由黑客來(lái)選擇特制插件進(jìn)行APT攻擊。進(jìn)一步升級，包括支持代理服務(wù)器，繞過(guò)用戶(hù)賬戶(hù)認證（UAC）技術(shù)，以及針對64位Windows系統的簽名驅動(dòng)等等。

烏克蘭電廠(chǎng)遭襲事件是第一次經(jīng)證實(shí)的計算機惡意程序導致停電的事件，證明了通過(guò)網(wǎng)絡(luò )攻擊手段是可以實(shí)現工業(yè)破壞的。

時(shí)間：

2018年8月3日

地點(diǎn)：

中國臺灣

事件回顧：

8月3日晚間，臺積電突位于營(yíng)運總部和新竹科學(xué)園區的的12英寸晶圓廠(chǎng)電腦，遭到勒索病毒入侵，生產(chǎn)線(xiàn)全數停擺。幾個(gè)小時(shí)之內，臺積電在臺灣北、中、南三處重要生產(chǎn)基地均未能幸免。

事件分析：

對于導致此次事故的原因，臺積電4日下午發(fā)布消息稱(chēng)，主要是出于“新機臺在安裝軟件的過(guò)程中操作失誤”，導致病毒在新機臺連接到臺積電內部電腦網(wǎng)路時(shí)，發(fā)生病毒擴散。

據臺灣《自由時(shí)報》報道，業(yè)內人士研判，至于原因，很可能是Windows 7系統沒(méi)有升級補丁，或者沒(méi)有關(guān)閉445端口，從而導致WannaCry病毒入侵后迅速傳播到其他生產(chǎn)線(xiàn)中。臺積電生產(chǎn)車(chē)間的“天車(chē)”日系搬送設備，以及相關(guān)電腦都使用Windows 7系統。

WannaCry勒索病毒屬于NotPetya的變種，從去年開(kāi)始爆發(fā)后，已經(jīng)有至少150個(gè)國家、30萬(wàn)名用戶(hù)中招，其造成的損失高達80億美元，影響到了金融、能源、醫療等眾多行業(yè)，造成嚴重的危機管理問(wèn)題。我國也有大量Windows系統用戶(hù)遭到感染，校園網(wǎng)受害嚴重，大量實(shí)驗室數據和畢業(yè)設計被鎖定加密。還有部分大型企業(yè)應用系統和數據庫文件被加密后，無(wú)法正常工作。直到今天，我國每天仍有近千臺設備受其感染，導致生產(chǎn)停滯或重要信息丟失。

時(shí)間：

2019年3月

地點(diǎn)：

委內瑞拉

事件回顧：

3月8日，周四晚上，古里水電站發(fā)生故障，導致委內瑞拉大部分地區斷電，委內瑞拉當局設法恢復了該國“許多地區”的電力供應。然而，該國總統表示，國家電網(wǎng)在周六再次遭受打擊，許多恢復的系統再次癱瘓。

事件分析：

委內瑞拉發(fā)生大規模停電后，該國總統馬杜羅指責美國“蓄意破壞”，而美國官員則將停電歸咎于委內瑞拉國內腐敗和管理不善。

早些時(shí)候，未經(jīng)證實(shí)的報道稱(chēng)，在委內瑞拉玻利瓦爾州西多變電站據稱(chēng)發(fā)生爆炸，向天空噴出黑煙，隨后該國95%的地區再次斷電。據報道，自從古里發(fā)電廠(chǎng)發(fā)生故障以來(lái)，這個(gè)變電站一直在維持電力供應。古里發(fā)電廠(chǎng)生產(chǎn)了全國80%的電力。

委內瑞拉當局目前正試圖“人工”修復這些系統，同時(shí)努力“診斷出計算機化的系統為何會(huì )出現如此大規模的故障”。

委內瑞拉政府將周四的大停電歸咎于美國的“破壞”?？偨y尼古拉斯·馬杜羅指責華盛頓對本國“電力戰”，而通信和信息部長(cháng)喬治·羅德里格斯則將停電歸咎于“美國精心策劃的網(wǎng)絡(luò )攻擊”。

來(lái)源：e安在線(xiàn)