1.工控安全现状
工控即工业控制系统是水力、电力、石油化工、制造、航空航天、交通运输、军工等国家命脉行业的重要基础设施。这些重要的系统一旦受到攻击,便会严重威胁到居民生活甚至是国家安全。而传统的工控系统安全偏向于功能安全、设备硬件安全属于生产事故或者故障范涛,却极少关注信息安全,由于这些工业控制系统和设备大都比较老旧,生产、制造和使用的过程也较为封闭,使得信息安全问题(包含软件、固件、网络等安全问题)暴露的几率极低。更严重的是即使发现信息安全问题或者黑客攻击,部分系统却难以更新甚至没有更新接口。这些工控系统中存在的安全问题就像是一个个定时炸弹一样隐藏在其中,严重威胁到工控行业的安全。通过对CNVD公开披露的工控漏洞数据的统计分析发现(如图1-1),截至目前有2743个工控漏洞,其中高危漏洞占比为33%,有907个,中危漏洞占比为42%,达1163个,大大高于传统行业的高中危漏洞比例。其中部分硬件级别的漏洞修复极为困难,只能进行硬件更新。
通过每年的漏洞披露数量绘制的柱状图如图1-2可以看出,2011年工控类的漏洞数量激增,这可能是因为2010年“震网”攻击伊朗核设施的事件所致。“震网”事件使得工控安全迅速得到了普遍的重视,甚至被各国提升到了国家安全战略的位置,因而信息安全企业和相关安全研究人员持续关注工业控制系统安全问题及工业控制系统厂商在客户的压力下开始注重自己所存在的一些历史遗留安全问题。由此使得接下来的几年里,漏洞披露的数量均保持在较高水平。但由于工业控制系统的封闭性使得工控安全研究进展缓慢,工业控制系统是使用方对信息安全从认识到真正能够实施信息安全相关政策需要一定时间,因而在2015年至2016年多起工控攻击事件如乌克兰电厂两次大规模停电攻击、纽约鲍曼水库防洪控制系统攻击、德国核电站网络攻击、针对西门子ICS/SCADA的IronGate病毒攻击等的刺激,再一次地对工控系统安全发起警告,使得2016的工控漏洞再一次出现了高增长,直到2018年工控安全漏洞数量高达469个。
同样,在震网攻击伊朗核设施的事件之后,工控类安全攻击事件的披露数量也得到明显的提升。由于普遍的关注和信息安全厂商的介入,使得这些攻击威胁被提前发现并终止,其中大部分均在情报收集阶段便被披露如Duqu、Flame、Havex(Dragonfly1.0)、Dragonfly2.0、Triton、VPNFilter等,并未造成重大后果,仅有少数攻击是在造成严重事故后才被发现(乌克兰电力系统攻击的BlackEnery和Industroyer)。
值得注意的是,近几年疯狂肆虐的勒索病毒也已经盯上工业控制系统。其中除了2016年爆发的wannacry已经染指工控行业外,去年2018年8月3日台积电开始遭到针对性的勒索病毒攻击致使该企业高达18亿的损失,而2019年3月18日位于挪威全球最大铝生产商之一的海德鲁(Norsk Hydro)公司同样也遭到了针对性的勒索软件攻击,致使其位于欧洲和美国的部分自动化生产线被迫关闭。
本文首先会就2000年之后的工控网络攻击事件进行梳理并选取其中最具影响的攻击事件及相关的攻击武器进行详细阐述。将会对这些攻击事件进行深入探讨并对其中10个重要的攻击武器进行一次总结归纳,通过分析其攻击背景、目标、手法以及技术特性,以使大家对工业控制系统所面临的安全威胁有一个更为全面的认识。