近年來，隨著互聯(lián)網(wǎng)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用，針對工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多。本文為大家匯總了近年來典型工控網(wǎng)絡(luò)安全事件，讓大家充分了解工業(yè)控制系統(tǒng)所面臨的安全威脅，認(rèn)識到工控網(wǎng)絡(luò)安全的重要性。

01 U盤傳播的震網(wǎng)病毒 破壞了伊朗的核計劃

時間：

2010年

地點：

伊朗

事件回顧：

2010年，震網(wǎng)病毒感染了全球超過20萬臺電腦，摧毀了伊朗濃縮鈾工廠五分之一的離心機(jī)。

事件分析：

震網(wǎng)病毒是一種首次發(fā)現(xiàn)于2010年的惡性蠕蟲電腦病毒，攻擊的目標(biāo)是工業(yè)上使用的可編程邏輯控制器（PLC）。震網(wǎng)病毒的感染途經(jīng)是通過U盤傳播，然后修改PLC控制軟件代碼，使PLC向用于分離濃縮鈾的離心機(jī)發(fā)出錯誤的命令。

與其他的惡性病毒不同，震網(wǎng)病毒看起來對普通的電腦和網(wǎng)絡(luò)似乎沒有什么危害。震網(wǎng)病毒只會感染W(wǎng)indows操作系統(tǒng)，然后在電腦上搜索一種西門子公司的PLC控制軟件。如果震網(wǎng)病毒在電腦上發(fā)現(xiàn)了PLC控制軟件，就會進(jìn)一步感染PLC軟件。隨后，震網(wǎng)病毒會周期性的修改PLC工作頻率，造成PLC控制的離心機(jī)的旋轉(zhuǎn)速度突然升高和降低，導(dǎo)致高速旋轉(zhuǎn)的離心機(jī)發(fā)生異常震動和應(yīng)力畸變，最終破壞離心機(jī)。

震網(wǎng)病毒的目標(biāo)是伊朗的核工廠，位于納坦茲的濃縮鈾工廠需要大量的離心機(jī)來分離鈾235和鈾238，因此也廣泛使用了西門子公司的PLC及控制軟件。在2009年11月到2010年1月之間，震網(wǎng)病毒就摧毀了伊朗1000多臺離心機(jī)。在震網(wǎng)病毒的肆虐下，伊朗納坦茲的核工廠里可用的離心機(jī)數(shù)量從4700臺降低到3000多臺。到2010年，核工廠仍然因為技術(shù)問題多次停工，工廠的濃縮鈾分離能力比去年下降了30%。

時間：

2014年

地點：

歐洲

事件回顧：

歐洲SCADA系統(tǒng)遭到Havex病毒惡意襲擊

事件分析：

在2014年時，安全研究人員發(fā)現(xiàn)了一種新的類似震網(wǎng)病毒的惡意軟件，并將其命名為：Havex。據(jù)稱，Havex也是被編寫來感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過載、甚至可以做到按一下鍵盤就能關(guān)閉一個國家的電網(wǎng)。

安全廠商F-Secure首先發(fā)現(xiàn)這種木馬并將其作為后門命名為W32/Havex.A，F(xiàn)-Secure稱它是一種通用的遠(yuǎn)程訪問木馬(RAT,即remoteaccessTrojan)，近來被用于從事工業(yè)間諜活動，主要攻擊對象是歐洲的許多使用和開發(fā)工業(yè)應(yīng)用程序和機(jī)械設(shè)備的公司。要做到這點，除了諸如利用工具包和垃圾郵件等傳統(tǒng)感染方式外，網(wǎng)絡(luò)罪犯們還會使用另一種有效的方法傳播Havex，例如：滲透目標(biāo)軟件公司的Web站點，并等待目標(biāo)安裝那些合法APP的感染木馬的版本。在安裝過程中，該木馬軟件釋放一個叫做"mbcheck.dll"的文件，這個文件實際上就是攻擊者用作后門的Havex惡意代碼。

時間：

2015年

地點：

烏克蘭

事件回顧：

2016年初，據(jù)英國《金融時報》報道，烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶家庭供電被迫中斷，這是有史以來首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊。

事件分析：

據(jù)網(wǎng)絡(luò)間諜情報負(fù)責(zé)人表示，本次攻擊來自俄羅斯黑客組織，使用的惡意軟件被稱為BlackEnergy（黑暗力量）。

Black Energy（黑暗力量）最早可以追溯到2007年，由俄羅斯地下黑客組織開發(fā)并廣泛使用在BOTNET，主要用于建立僵尸網(wǎng)絡(luò)，對定向目標(biāo)實施DDoS攻擊。Black Energy有一套完整的生成器，可以生成感染受害主機(jī)的客戶端程序和架構(gòu)在C&C (指揮和控制)服務(wù)器的命令生成腳本。攻擊者利用這套黑客軟件可以方便地建立僵尸網(wǎng)絡(luò)，只需在C&C服務(wù)器下達(dá)簡單指令，僵尸網(wǎng)絡(luò)受害主機(jī)便統(tǒng)一執(zhí)行其指令。

經(jīng)過數(shù)年的發(fā)展，Black Energy逐漸加入了Rootkit技術(shù)，插件支持，遠(yuǎn)程代碼執(zhí)行， 數(shù)據(jù)采集等功能，已能夠根據(jù)攻擊目的和對象，由黑客來選擇特制插件進(jìn)行APT攻擊。進(jìn)一步升級，包括支持代理服務(wù)器，繞過用戶賬戶認(rèn)證（UAC）技術(shù)，以及針對64位Windows系統(tǒng)的簽名驅(qū)動等等。

烏克蘭電廠遭襲事件是第一次經(jīng)證實的計算機(jī)惡意程序?qū)е峦ｋ姷氖录C明了通過網(wǎng)絡(luò)攻擊手段是可以實現(xiàn)工業(yè)破壞的。

時間：

2018年8月3日

地點：

中國臺灣

事件回顧：

8月3日晚間，臺積電突位于營運(yùn)總部和新竹科學(xué)園區(qū)的的12英寸晶圓廠電腦，遭到勒索病毒入侵，生產(chǎn)線全數(shù)停擺。幾個小時之內(nèi)，臺積電在臺灣北、中、南三處重要生產(chǎn)基地均未能幸免。

事件分析：

對于導(dǎo)致此次事故的原因，臺積電4日下午發(fā)布消息稱，主要是出于“新機(jī)臺在安裝軟件的過程中操作失誤”，導(dǎo)致病毒在新機(jī)臺連接到臺積電內(nèi)部電腦網(wǎng)路時，發(fā)生病毒擴(kuò)散。

據(jù)臺灣《自由時報》報道，業(yè)內(nèi)人士研判，至于原因，很可能是Windows 7系統(tǒng)沒有升級補(bǔ)丁，或者沒有關(guān)閉445端口，從而導(dǎo)致WannaCry病毒入侵后迅速傳播到其他生產(chǎn)線中。臺積電生產(chǎn)車間的“天車”日系搬送設(shè)備，以及相關(guān)電腦都使用Windows 7系統(tǒng)。

WannaCry勒索病毒屬于NotPetya的變種，從去年開始爆發(fā)后，已經(jīng)有至少150個國家、30萬名用戶中招，其造成的損失高達(dá)80億美元，影響到了金融、能源、醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問題。我國也有大量Windows系統(tǒng)用戶遭到感染，校園網(wǎng)受害嚴(yán)重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。還有部分大型企業(yè)應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作。直到今天，我國每天仍有近千臺設(shè)備受其感染，導(dǎo)致生產(chǎn)停滯或重要信息丟失。

時間：

2019年3月

地點：

委內(nèi)瑞拉

事件回顧：

3月8日，周四晚上，古里水電站發(fā)生故障，導(dǎo)致委內(nèi)瑞拉大部分地區(qū)斷電，委內(nèi)瑞拉當(dāng)局設(shè)法恢復(fù)了該國“許多地區(qū)”的電力供應(yīng)。然而，該國總統(tǒng)表示，國家電網(wǎng)在周六再次遭受打擊，許多恢復(fù)的系統(tǒng)再次癱瘓。

事件分析：

委內(nèi)瑞拉發(fā)生大規(guī)模停電后，該國總統(tǒng)馬杜羅指責(zé)美國“蓄意破壞”，而美國官員則將停電歸咎于委內(nèi)瑞拉國內(nèi)腐敗和管理不善。

早些時候，未經(jīng)證實的報道稱，在委內(nèi)瑞拉玻利瓦爾州西多變電站據(jù)稱發(fā)生爆炸，向天空噴出黑煙，隨后該國95%的地區(qū)再次斷電。據(jù)報道，自從古里發(fā)電廠發(fā)生故障以來，這個變電站一直在維持電力供應(yīng)。古里發(fā)電廠生產(chǎn)了全國80%的電力。

委內(nèi)瑞拉當(dāng)局目前正試圖“人工”修復(fù)這些系統(tǒng)，同時努力“診斷出計算機(jī)化的系統(tǒng)為何會出現(xiàn)如此大規(guī)模的故障”。

委內(nèi)瑞拉政府將周四的大停電歸咎于美國的“破壞”。總統(tǒng)尼古拉斯·馬杜羅指責(zé)華盛頓對本國“電力戰(zhàn)”，而通信和信息部長喬治·羅德里格斯則將停電歸咎于“美國精心策劃的網(wǎng)絡(luò)攻擊”。

來源：e安在線