今年3月，美國各機構警告稱(chēng)，俄羅斯政府部門(mén)正在針對美國的關(guān)鍵基礎設施進(jìn)行廣泛的攻擊活動(dòng)，旨在確保在最敏感的網(wǎng)絡(luò )中站穩腳跟。

攻擊者利用魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)郵件和水坑攻擊來(lái)危害受害者的計算機系統。根據美國國土安全部和聯(lián)邦調查局發(fā)布的警告稱(chēng)，一旦這些惡意行為者在受害者網(wǎng)絡(luò )中立足，他們接下來(lái)就會(huì )進(jìn)行網(wǎng)絡(luò )偵察，收集用戶(hù)名和密碼等信息，以及利用其他額外的主機。

這些機構警告基礎設施提供商稱(chēng)，俄羅斯政府黑客的滲透行為應該是準備肆虐造成美國經(jīng)濟損失的第一步。

美國國土安全部和聯(lián)邦調查局在今年3月份發(fā)布的通知中指出，“美國國土安全部和聯(lián)邦調查局將這一活動(dòng)定性為由俄羅斯政府網(wǎng)絡(luò )行動(dòng)者組織的多階段入侵運動(dòng)，這些活動(dòng)針對的是小型商業(yè)設施的網(wǎng)絡(luò )，他們在其中安裝惡意軟件，進(jìn)行魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)并獲得遠程訪(fǎng)問(wèn)能源部門(mén)網(wǎng)絡(luò )的權限。在獲得訪(fǎng)問(wèn)權后，俄羅斯政府網(wǎng)絡(luò )行動(dòng)者就會(huì )進(jìn)行網(wǎng)絡(luò )偵察，橫向移動(dòng)，收集有關(guān)工業(yè)控制系統的信息?！?/p>

隨著(zhù)關(guān)鍵系統越來(lái)越多地與互聯(lián)網(wǎng)連接，網(wǎng)絡(luò )攻擊對物理基礎設施的風(fēng)險和影響——也就是所謂的“網(wǎng)絡(luò )-物理攻擊”——都在增長(cháng)。在很多情況下，將數字世界與物理世界連接起來(lái)的運營(yíng)網(wǎng)絡(luò )中包含了更多老舊、落后的技術(shù)，因此更為脆弱，也更難實(shí)現技術(shù)更新。

運營(yíng)網(wǎng)絡(luò )安全提供商Claroty的聯(lián)合創(chuàng )始人兼業(yè)務(wù)開(kāi)發(fā)主管Galina Antova表示，“當我們談?wù)撽P(guān)鍵基礎設施時(shí)，其不僅僅只是電網(wǎng)，而是世界上在工業(yè)網(wǎng)絡(luò )上運行的一切。從網(wǎng)絡(luò )安全的角度來(lái)看，由于在這些網(wǎng)絡(luò )上運行的多是遺留系統，因此它們的安全性實(shí)際上相當脆弱?！?/p>

這種脆弱性已經(jīng)在現實(shí)世界中得到了反復證明。烏克蘭電網(wǎng)已經(jīng)被俄羅斯襲擊者關(guān)閉；醫院運營(yíng)受到勒索軟件攻擊的困擾；制造商和運輸公司因勒索軟件而被迫停工；黑客甚至還用污水淹沒(méi)了濕地、造成鋼廠(chǎng)關(guān)閉，以及損壞了熔爐。

Juniper Networks威脅實(shí)驗室負責人Mounir Hahad表示：“無(wú)論我們喜歡與否，我們都生活在一個(gè)互聯(lián)世界中。這意味著(zhù)網(wǎng)絡(luò )攻擊面正在不斷增長(cháng)，并與現實(shí)世界更為緊密地交織在一起。此外，世界各地的政治不穩定局面以及明確歸因的困難性，都為進(jìn)攻性網(wǎng)絡(luò )能力提供了一片肥沃的土壤，使其能夠在相對不受懲罰的情況下肆意行使”。

以下五起網(wǎng)絡(luò )攻擊工控系統的典型案例：

1. 攻擊烏克蘭電網(wǎng)

一些國家的攻擊意圖是能夠在競爭國的電網(wǎng)中站穩腳跟。最近兩起成功的襲擊事件均與俄羅斯有關(guān)，攻擊影響了烏克蘭發(fā)電公司的正常運營(yíng)，并為該國造成了嚴重的電力中斷局面。

2015年12月，網(wǎng)絡(luò )攻擊者利用他們在烏克蘭能源網(wǎng)絡(luò )中的立足點(diǎn)關(guān)閉了三家電力配送公司，此次事件被稱(chēng)為“oblegnergos”，結果導致225,000家用戶(hù)在寒冷的冬季無(wú)電可用。盡管攻擊者破壞了電力公司對襲擊事件進(jìn)行調查的嘗試，但停電只持續了幾個(gè)小時(shí)。

一年后，攻擊者再次襲擊了烏克蘭的能源公司，將基輔市部分地區的電力中斷了大約一個(gè)小時(shí)。

由此，不難理解在一項針對能源領(lǐng)域151名安全專(zhuān)業(yè)人員進(jìn)行的調查結果顯示，70%的受訪(fǎng)者擔心網(wǎng)絡(luò )攻擊造成的“災難性故障”。

Tripwire產(chǎn)品管理和戰略副總裁Tim Erlin在一份聲明中表示：“能源公司已經(jīng)接受了數字威脅會(huì )帶來(lái)實(shí)際后果的事實(shí)。而且，這種看法可能會(huì )因為最近發(fā)生的一些旨在影響實(shí)際操作的攻擊行為而日漸加劇?！?/p>

2. WannaCry和NotPetya勒索軟件攻擊

2017年，兩款在全球范圍內肆意傳播的勒索軟件攻擊——WannaCry和NotPetya——為國際社會(huì )造成了異常慘重的損失。其中，WannaCry于2017年5月發(fā)布，影響了英國醫院以及診所的系統，導致其2萬(wàn)多個(gè)預約取消，并關(guān)閉了法國汽車(chē)制造商雷諾的工廠(chǎng)。

不到2個(gè)月的時(shí)間，一款名為NotPetya的勒索軟件再次席卷了全球眾多大型跨國公司，造成了數億美元的損失。據聯(lián)邦快遞（FedEx）估計，此次攻擊為其造成了3億美元的損失；而制藥商Merck估計，此次攻擊為其造成的銷(xiāo)售損失高達1.35億美元，單季度損失1.75億美元，而且預計最終的理賠將使整體損失翻倍。

隨著(zhù)越來(lái)越多的關(guān)鍵業(yè)務(wù)系統連接到互聯(lián)網(wǎng)，諸如勒索軟件等攻擊將對企業(yè)產(chǎn)生越來(lái)越大的影響。

Claroty公司的Antova表示，“像NotPetya這樣的攻擊是非常危險的，因為它們可能會(huì )蔓延到商業(yè)和工業(yè)網(wǎng)絡(luò )中。作為一種副作用，惡意軟件可能會(huì )跨越這些邊界并造成損害?！?/p>

3. 網(wǎng)絡(luò )物理攻擊之父：“震網(wǎng)”（Stuxnet）

美國和以色列在Stuxnet病毒上的合作（有人指出該病毒是美國國家安全局和以色列軍方情報組織開(kāi)發(fā)的），成功地將網(wǎng)絡(luò )攻擊轉化為現實(shí)世界的實(shí)際損失。據悉，當時(shí)有人故意把含有計算機病毒“震網(wǎng)”（Stuxnet）的U盤(pán)丟掉，讓伊朗核能設施的員工撿到，該員工把U盤(pán)插入計算機后，計算機立刻中毒。之后通過(guò)設施內部網(wǎng)絡(luò )陸續控制了德國西門(mén)子制的PLC，讓數千臺離心機超載，造成物理性的破壞。據以色列情報機構負責人所言，此次攻擊最終導致伊朗的核武開(kāi)發(fā)計劃延后了四年之久。

然而，這次攻擊也向世界展示了網(wǎng)絡(luò )攻擊可能對工業(yè)網(wǎng)絡(luò )造成的物理?yè)p害的規模。在短短幾年內，伊朗又對Saudi Aramco石油公司（沙特阿拉伯的國有石油生產(chǎn)商）的系統進(jìn)行了攻擊，對該公司成千上萬(wàn)個(gè)硬盤(pán)進(jìn)行了加密。2017年，類(lèi)似的代碼攻擊了Sadara公司——Aramco和Dow Chemical公司之間的聯(lián)合化學(xué)合作伙伴。2017年8月，在另一起針對沙特阿拉伯一家公司的攻擊活動(dòng)中，要不是由于代碼中存在一個(gè)錯誤，將可能會(huì )引發(fā)爆炸。

Juniper公司的Hahad表示，“此次攻擊再一次突破了網(wǎng)絡(luò )物理攻擊的底線(xiàn)，因為其目的是引爆工廠(chǎng)，而不再僅僅是感染系統、竊取情報等意圖?！?/p>

4. 澳大利亞馬盧奇污水處理廠(chǎng)非法入侵事件

2000年3月，澳大利亞昆士蘭新建的馬盧奇污水處理廠(chǎng)出現故障，無(wú)線(xiàn)連接信號丟失，污水泵工作異常，報警器也沒(méi)有報警。本以為是新系統的磨合問(wèn)題，后來(lái)發(fā)現是該廠(chǎng)前工程師Vitek Boden因不滿(mǎn)工作續約被拒而蓄意報復所為。

據悉，這位前工程師通過(guò)一臺手提電腦和一個(gè)無(wú)線(xiàn)發(fā)射器控制了大約140個(gè)污水泵站；前后三個(gè)多月，總計有100萬(wàn)公升的污水未經(jīng)處理直接經(jīng)雨水渠排入當地的公園和河流中，導致當地環(huán)境受到嚴重破壞。最終，Boden因此次入侵行為被判入獄2年。

澳大利亞環(huán)境保護局調查經(jīng)理Janelle Bryant當時(shí)表示，“此次事故造成大量海洋生物死亡，河水也開(kāi)始污染變黑，發(fā)出的惡臭味讓附近居民無(wú)法忍受，甚至會(huì )危害居民身體健康?！?/p>

5. 德國鋼廠(chǎng)遭受“巨大損害

2014年底，德國聯(lián)邦信息安全辦公室（BSI）發(fā)布了一份《2014年信息安全報告》，這份長(cháng)達44頁(yè)的報告中披露了一起針對IT安全關(guān)鍵基礎設施的網(wǎng)絡(luò )攻擊，并造成重大物理傷害。受攻擊方是德國的一個(gè)鋼鐵廠(chǎng)，遭受到高級持續性威脅（APT）攻擊。攻擊者使用魚(yú)叉式釣魚(yú)郵件和社會(huì )工程手段，獲得鋼廠(chǎng)辦公網(wǎng)絡(luò )的訪(fǎng)問(wèn)權。攻擊者技術(shù)非常熟練，且十分熟悉這些系統，暗示著(zhù)他們可能是國家支持的威脅行為者。

據悉，攻擊者在獲得鋼廠(chǎng)辦公網(wǎng)絡(luò )的訪(fǎng)問(wèn)權后，就利用這個(gè)網(wǎng)絡(luò )，設法進(jìn)入到鋼鐵廠(chǎng)的生產(chǎn)網(wǎng)絡(luò )。攻擊者的行為導致工控系統的控制組件和整個(gè)生產(chǎn)線(xiàn)被迫停止運轉，由于不是正常的關(guān)閉煉鋼爐，從而給鋼廠(chǎng)帶來(lái)了重大破壞。

Claroty公司的Antova表示，隨著(zhù)其他國家威脅行為者日益關(guān)注工控和關(guān)鍵基礎設施系統，公司必須對網(wǎng)絡(luò )防御采取更為積極主動(dòng)的立場(chǎng)。她說(shuō)，“我們不能全部寄希望于政府，政府所能做的不過(guò)是事故發(fā)生后的事件響應和協(xié)助調查。我們必須采取正確的舉措，以更為積極的態(tài)度捍衛自己公司的網(wǎng)絡(luò )系統并強化其安全性?！?/p>