用户中心

资讯 > 技术进展

从超级工厂病毒(Stuxnet)中吸取控制网络安全教训

作者:Richard Piggin博士网络与安全顾问2011.07.21阅读 6150

  工业协议中的信息应用范围很广,一些系统已经成为攻击的目标,这其中就包括Modbus协议,以及受到Stuxnet病毒影响的西门子WinCC SCADA、Step 7编程软件和西门子PLC。尽管人们很快就开发出了补丁程序,Stuxnet的复杂性和攻击性还是改变了工业界的很多规则。专家们正在分析安全缺陷,政府也正在相应推出一般性和专门面向各个行业的指南,保护国家的关键性基础设施。

爱达荷国家实验室正在进行Aurora发电机测试,模拟发电机的SCADA系统受到攻击的情况。

  美国国土安全部和英国国家基础设施保护中心(CPNI)与主要服务运营商合作,帮助政府机构识别和保护国家关键性基础设施。一个经常被提到的与风险相关的案例控制工程网版权所有,是昆士兰垃圾处理厂。有46名黑客侵入了工厂的系统,向公共水道排放了数百万升污水。此外,中央情报局(CIA)已经确认了多个城市的停电(包括2008年新奥尔良的停电事故)是源于网络攻击,CIA还共享了市政设施上侵入和修改命令的信息记录。在英国,国家基础设施保护中心(CPNI)经由政府授权,为国家基础设施提供安保建议。CPNI的建议包括一系列流程控制和SCADA安防方面的操作指南。美国国家标准与技术研究院(NIST)和美国国土安全部对这项工作给予了大力协助。
  超级工厂病毒Stuxnet,是第一款广为人知的目标是工业控制系统的“蠕虫”病毒。Stuxnet的威胁被认为是前所未有的,它的目标是破坏真正的工厂控制工程网版权所有,而不仅仅是抽象的IT系统。病毒的攻击对象是控制网络,目标是对PLC重新编程从而破坏工厂、隐藏从程序员或者用户那里做出的变更。
  Stuxnet的强大之处在于,可以直接攻击包括能源、水利、交通等部门在内的国家关键基础设施的工业控制系统。Symantec的研究(2010年9月)显示,伊朗10万台主站系统有接近60%被Stuxnet感染控制工程网版权所有,印度和印度尼西亚的感染率也相当高。这不由得让人联想到,Stuxnet的目标是破坏伊朗Bushehr核电站或者位于Natanz的铀浓缩基地。

Stuxnet病毒的目标是修改PLC程序,破坏工厂,然后隐藏程序员和用户所做的更改。

  Symantec认为Stuxnet是公司有史以来所分析过的最为复杂的病毒之一,其特征包括:可以利用四个软件供应商未知、未公开或者没有任何安全补丁的零日漏洞。这是任何病毒都少有的,绝大多数黑客都认为这样做很浪费。它还拥有一个微软Windows恶意程序工具包,可以侵入计算机同时隐藏自己的行踪,甚至还首次使用了“PLC恶意程序包”,可以在不被觉察的状态下感染PLC程序。它有一个逃避反病毒程序、两个偷来的数字签名用来验证Windows软件,它还拥有复杂的流程注入和挂钩程序防止程序员发现被感染的代码,拥有网络感染规则、升级特权、点对点升级功能,甚至还可以远程发出指令和控制。
  因为用于控制系统编程的计算机并不是像一般PC那样与互联网连接,Stuxnet 通过可移动USB存储器自动进行复制。它利用微软Windows Print Spooler和Windows服务器远程过程调用(RPC)容易受到攻击的特点在局域网上传播。Stuxnet可以通过网络共享以及西门子WinCC数据库服务器,在远程计算机上进行复制和操作。它还可以将自身复制到西门子Step 7 PLC程序当中,在项目加载的时候运行,并且可以通过局域网上点对点通讯进行版本升级。
  Stuxnet最初与丹麦和马来西亚的两台指令和控制服务器进行通讯,下载代码并进行升级。Stuxnet可以影响使用Profibus工业网络用于集散式输入输出的PLC配置过程。使用较早版本的Stuxnet收集配置信息,如果与目标配置不符,Stuxnet还会保持良性的状态;如果配置相符,PLC的代码将被已感染的编程软件修改CONTROL ENGINEERING China版权所有,而这种修改将被隐藏起来。修改后的代码会通过干扰代码功能模块处理、堵塞网络通讯、修改PLC I/O输出字符,来阻止初始代码运行。
  Stuxnet可能为攻击现实世界中的基础设施提供了一种新的途径,即修改工业控制系统的程序。Stuxnet的精密和复杂的程度CONTROL ENGINEERING China版权所有,需要大量的资源,这使它能够快速发展成为巨大的威胁。
  为了解决系统易受攻击的问题,CPNI和NIST开发的流程控制和安全最佳实践指南,为水处理、电力和化工等行业的网络安全保证提供了“路线图”,强调对现有系统以及新设计架构的高性价比安防方法,保证通讯安全。包括ISA99第一部分和第二部分在内的标准,在工业自动化和控制系统安全方面都做了扩充。作为对ISA工作的回应,IEC正在制定ICS标准。在英国政府通讯总部(GCHQ)的第一次公开演讲中,首席代表Ian Lobban宣称:今后要更快的适应网络事件发展的速度。目前的挑战是要使用合理的方法,并对不断出现的系统脆弱、威胁和后果进行持续的评估、调整和检查。

版权声明:版权归控制工程网所有,转载请注明出处!

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2020    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688