工业控制系统ICS 黑客利用基础设施漏洞造成大规模破坏

随着OT和ICS基础设施发展,黑客将目标更多转向了有形建筑,如发电厂和炼油厂,无需踏入所攻击的设施就可以造成大规模破坏,本文将回顾2010年的Stuxnet蠕虫和2015年的乌克兰攻击,回顾一些以前的OT / ICS攻击的细节是有益的,重点是恶意行为者如何根据目标ICS系统的具体情况调整熟悉的黑客攻击方法。

大多数黑客的传统焦点一直是软件,但犯罪的历史重点是任何有价值的东西。因此,毫不奇怪,随着运营技术(OT)和工业控制系统(ICS)基础设施已成为国家关键基础设施中更为突出的组成部分,恶意黑客活动将越来越多地成为这一方向的目标。

还有理由认为,黑客攻击的显着方面 – 即远程访问,自动化工具和弱密码 – 将自然延伸到关键OT / ICS基础架构的恶意攻击。在这种情况下,这些属性特别有吸引力,因为对破坏工厂,生产系统和其他有形基础设施感兴趣的犯罪分子以前不得不建立实体存在或者让一些群体与本地访问权限妥协。

OT / ICS黑客攻击的新方法涉及传统技术与目标系统领域专业知识的结合 – 尽管可能需要很少的专业知识来触发对ICS / OT系统的破坏。这里最大的问题是攻击者能够瞄准基础设施,如发电厂和炼油厂,而无需踏入当地设施。这是与历史规范的重大背离。

回顾一些以前的OT / ICS攻击的细节是有益的,重点是恶意行为者如何根据目标ICS系统的具体情况调整熟悉的黑客攻击方法。在下面的部分中,我们将研究过去几年中发生的两个更为人熟知的示例黑客攻击 – 即2010年的Stuxnet蠕虫和2015年的乌克兰攻击。

Stuxnet蠕虫攻击事件

Stuxnet由在Purdue模型的上层运行的蠕虫功能组成,旨在定位和攻击较低层中的OT资源。具体而言,蠕虫是由不知情的人传播的,其中恶意软件感染的USB棒在关键基础设施站点上运输和使用。一旦驻留在Windows计算机上,蠕虫就会搜索用于控制机电设备的西门子控制系统软件。

如果Stuxnet在给定的Windows机器上搜索所需的西门子控制软件,则该工具包将通过防火墙和IP网络传播到西门子控制系统中的所有计算机。当Stuxnet恶意软件找到负责任的计算机时,就会将强大的rootkit下载到所谓的可编程逻辑控制器(PLC)中,如Purdue模型的第1层中所示。PLC控制许多类型的物理系统。

虽然攻击的起源仍然存在许多问题,但安全界普遍认为Stuxnet是针对伊朗铀浓缩设施中的气体离心机而开发的。一致意见认为,蠕虫使用其rootkit有效载荷向伊朗的浓缩基础设施发送特殊破坏性命令,作为传统攻击形式的替代方案。这次袭击迫使气体离心机的转子速度发生变化,对这些设备造成永久性损坏 – 所有这些都是远程完成的。

 

Stuxnet攻击进展

了解Stuxnet如何被阻止可提供有关OT / ICS安全性的有用提示。首先,人们可能会指责微软和西门子软件,这两者都为USB蠕虫提供了友好的环境。例如,Microsoft Windows中的四个0day漏洞被用于感染目标系统。因此,认识到平台漏洞的影响是当前和未来OT / ICS攻击的根本原因是合理的。这不是一个永远不会消失的问题 – 所有软件都有缺陷,其中一些缺陷是已知和未知的漏洞。

其次,人们会认识到蠕虫能够从较高级别的架构传播到较低级别。这表明OT / IT接口至少需要在典型的企业网关中找到相同级别的网关保护。这意味着Purdue模型的较低层不应该隐含地信任在较高级别运行的软件。

这说起来容易做起来难,但是方式,因为蠕虫证明了通过加密的,经过身份验证的连接自动跳过防火墙的功能。在通过OT / IT接口进行通信的进程之间实施新的网络安全要求(例如双因素身份验证)对于降低Stuxnet的速度几乎没有什么作用。

乌克兰黑客破坏关键基础设施导致大规模停电

2015年12月,黑客破坏了乌克兰公民的电力分配。三家能源公司 – 都名字太长,不能在这里重复 – 成为目标,而且影响很可怕:近25万人几小时没电。攻击的起源和动机一直存在争议,但似乎与如何防止此类事件在未来发生的问题相关性较小。

对攻击的分析揭示了使用多种不同的SCADA网络攻击方法,包括以下组件:

  • 特洛伊木马恶意软件 – 已发现名为BlackEnergy的高级Windows可执行恶意软件,但未与中断有关。相反,最有可能使用标准的黑客行动主义远程控制方法。
  • Spear Phishing – 攻击者使用带有欺骗性发件人身份(乌克兰议会)和恶意附件的电子邮件鱼叉式网络钓鱼。
  • 远程控制 – 攻击导致电力公司变电站设备和系统的远程操作。
  • 破坏性操作 – 作为攻击的一部分提供的KillDisk实用程序销毁了变电站服务器和设备上的文件。
  • 拒绝服务 – 电力公司客户支持中心经历了DDOS攻击,降低了他们为受影响的客户提供服务的能力。

这种协调的攻击表明,这些乌克兰电力公司的IT / OT接口基本上没有受到保护。攻击中的每个组件都是网络防御社区所熟知的,虽然在任何情况下都不会将网络攻击风险降低到零,但这里的保护似乎对电网环境中的用户和系统来说太无效了。

也许乌克兰袭击的最大教训是,关键基础设施提供商必须开发和维护更高的网络安全标准,而不是更普通的系统和服务的提供者。如此广泛的攻击集合可能成功地与这些公司合作的想法应该在整个行业领域发出警报 – 这包括美国等较大国家的电力公司。

这些公司可能考虑的基本概念涉及围绕变电站或相关功能的分离飞地。使用单独的物理通信基础设施可能最好地实现这一点。这些独立的物理飞地也将受益于实现单向通信流的强大网关解决方案。这将确保电力公司的IT部分的黑客攻击不会级联到OT变电站。

 

使用先进的分离技术保护IT / OT变电站

无论使用何种特定类型的网络安全技术,变电站可能在电力公司基础设施中分离为物理上离散的域的想法提供了强有力的保护,以防止在高级攻击中常见的级联攻击类型,特别是来自民族国家的角色。

OT / ICS安全的经验教训

OT / ICS基础设施的设计者和运营商应该认识到,诸如Stuxnet蠕虫和乌克兰电力公司攻击等事件为该行业的最佳安全解决方案提供了明确的线索。首先,应该清楚的是,标准的基于IT的网络攻击可以并且将在他们的OT系统上发布。这表明传统安全供应商可以发挥作用,他们可以通过OT / IT界面调整其工作方式。

其次,他们必须认识到OT基础设施中将始终存在可利用的ICS漏洞,而恶意软件的设计目的是专门针对这些弱点。简单地假设由于IT和基于OT的系统之间可能存在技术差异,网络攻击不会越过边界,不再是一种可接受的安全解决方案。

最后,这些最近的攻击表明IT和OT系统之间假定的技术差距肯定在缩小。恶意软件可能在使用传统IT社交工程(例如,在停车场丢弃记忆棒)的蠕虫中寻找,发现和破坏SCADA功能的想法应该为OT / ICS安全工程师创造令人不寒而栗的前景。让我们希望社区立即关注并采取保护措施。

发表评论