工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”,超过80%的涉及国家民生的关键基础设施依靠工业控制系统实现自动化作业。工业控制系统在带来便利的同时,其网络安全面临设备高危漏洞、外国设备后门、APT、病毒、无线技术应用带来的威胁及风险将越来越大。
2018年能源行业五大工控网络安全事件
俄黑客对美国核电站和供水设施攻击事件
2018年3月,美国计算机应急准备小组发布了一则安全通告TA18-074A,详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。
通告称俄黑客组织通过(1)收集目标相关的互联网信息和使用的开源系统的源代码;(2)盗用合法账号发送鱼叉式钓鱼电子邮件;(3)在受信任网站插入JavaScrip或PHP代码进行水坑攻击;(4)利用钓鱼邮件和水坑攻击收集用户登录凭证信息;(5)构建基于操作系统和工业控制系统的攻击代码发起攻击。
本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户帐户的信息。此安全事件告诫我们:加强员工安全意识教育和管理是十分必要的,如密码定期更换且不复用,安装防病毒软件并确保及时更新等。
中东石油和天然气行业频繁受到网络攻击
自2017年3月至今,近3/4的中东石油和天然气工业组织经历了安全危害,导致其机密数据或操作技术中断,在中东受到的所有网络攻击中石油和天然气行业占据了一半的比例。
最严重的一次攻击事件发生在2017年8月,沙特阿拉伯的一家石油工厂使用的Triconex安全控制器系统中存在漏洞,恶意软件试图利用漏洞破坏设备并企图以此引发爆炸摧毁整个工厂,但由于恶意代码写入存在缺陷,未能引发爆炸。此安全事件告诫我们:对于工业控制系统要及时进行更新,修复安全漏洞。
美国天然气公司被攻击导致交易系统关闭
2018年4月2日,美国能源公司EnergyServicesGroup的天然气管道客户交易系统受到网络攻击,造成系统关闭数小时,万幸的是此次攻击主要影响的是客户账单信息,并未对天然气流量造成影响。天然气管道客户交易系统用于帮助管道运营商加快跟踪和调度天然气流量,此系统被关闭可能导致天然气流量供应异常。
乌克兰能源部网站遭黑客攻击要求支付赎金解锁
2018年4月24日,乌克兰能源和煤炭工业部网站遭黑客攻击,网站瘫痪,主机中文件被加密,主页留下要求支付比特币赎金的英文信息,以此换取解锁文件。经过乌克兰网络警察部门调查,能源和煤炭工业部网站受到攻击是一起孤立事件,不构成大规模网络攻击。乌克兰政府的其他部门和机构网站没有遭遇类似状况。
印度电力公司遭勒索攻击,大量客户计费数据被窃取锁定
2018年3月21日,印度UttarHaryanaBijliVitranNigam(简称UHBVN)电力公司的网络系统遭到了匿名黑客组织入侵,黑客在获取其计算机系统访问权限后,进一步侵入计费系统并窃取和锁定了大量客户计费数据,同时向UHBVN公司勒索价值1000万卢布(约15万美元)的比特币作为赎金。
据悉,UHBVN公司负责哈里亚纳邦9大地区的电力供应和费用收取,客户数量超过26万名(包括民用、商用和工业用电),此次遭黑客窃取的数据是客户的消费账单,包括电费缴纳记录、未支付费用及客户地址等。UHBVN公司发言人表示,遭黑客窃取的数据库进行了加密处理,因此与之相关的数据并不会遭到泄露;此外,公司拥有该数据库的备份并已完成了数据恢复,不会有业务因此中断或遭受损失。
2018年能源行业五大重大工控安全漏洞
罗克韦尔工控设备曝多项严重漏洞
2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化公司的Allen-BradleyMicroLogix1400系列可编程逻辑控制器(PLC)中存在多项严重安全漏洞,这些漏洞可用来发起拒绝服务攻击、篡改设备的配置和梯形逻辑、写入或删除内存模块上的数据等。该系列可编程逻辑控制器被各关键基础设施部门广泛运用于工业控制系统(ICS)的执行过程控制,一旦被利用将会导致严重的损害。思科Talos团队建议使用受影响设备的组织机构将固件升级到最新版本,并尽量避免将控制系统设备以及相关系统直接暴露在互联网中。
思科网络设备爆严重安全漏洞
2018年3月,思科公司发布了一个远程代码执行严重漏洞通告(CVE-2018-0171),通告了其网络设备上使用的IOS和IOS-XE操作系统的SmartInstallClient(用于设备即插即用配置和镜像管理功能)代码中存在一处缓冲区溢出漏洞。攻击者无需通过身份验证就可向远端思科设备的TCP4786端口发送精心构造的恶意数据包触发漏洞,从而远程执行任意命令或导致设备停止服务。
该漏洞相关的技术细节和验证程序已经公开,根据国家信息安全漏洞共享平台(CNVD)发布的公告显示,全球约14.3万台设备面临潜在威胁。俄罗斯和伊朗两国的网络基础设施近日已遭到利用此漏洞的网络攻击,进而波及了两国的ISP(互联网服务提供商)、数据中心以及某些网站,黑客利用该漏洞将路由器重置为默认配置,并向受害者显示信息。目前,思科已发布该漏洞修复补丁及相关修复指南。
西门子继电保护设备曝高危漏洞
2018年4月,ICS-CERT(美国工控系统网络应急响应小组)发布安全通告称使用EN100以太网通信模块和DIGSI4软件的西门子继电保护设备SIPROTEC4、SIPROTECCompact、Reyrolle存在三个高危漏洞,可能会被黑客利用来攻击变电站和其他供电设施。
此类设备用于控制和保护变电站及其他电力基础设施,当这些漏洞被成功利用时,攻击者能够通过覆盖设备配置信息、嗅探网络流量等方式获取设备管理员口令,继而导致电力设备保护功能中断。
思科多款工控产品存在SAML身份验证系统漏洞
2018年4月,思科公司发布了一个关于SAML身份验证系统的严重漏洞通告(CVE-2018-0229)。该漏洞允许未经身份验证的远程攻击者通过运行ASA(自适应安全设备软件)或FTD(威胁防御软件)来建立伪造的AnyConnect(桌面移动客户端软件)会话,从而开启进一步的网络攻击。AnyConnect、ASA、FTD等基础套件被广泛应用于思科的工业安全设备、工业防火墙等设备中,一旦被利用将会导致严重的网络安全风险,思科官方建议用户通过升级补丁方式尽快对受影响设备进行修复。
Moxa工业安全路由器爆多项严重漏洞
2018年4月,思科Talos安全研究团队发现Moxa公司的工业路由器EDR-810中存在17个安全漏洞,其中包括多个影响Web服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务(DOS)漏洞。EDR-810是Moxa公司2015年发布的一款集防火墙、交换机等多功能于一体的工业级多端口安全路由器,被广泛应用于工业控制系统中。这些发现的漏洞已在MoxaEDR-810V4.1build17030317中得到确认,其早期版本的产品也可能受到了影响。目前,针对这些漏洞,Moxa公司已经发布了新版固件以及相关修复指南。