针对ICS的网络攻击20强
发布时间:
2019-12-25
来源:
作者:
访问量:
43
近期,以色列知名工控安全厂商WaterFall发布了其专题研究报告《针对ICS的网络攻击20强》。该报告的主要目的是对工业站点进行一致性的网络风险评估提供基础,并将这些风险更清晰地传达给业务决策者,以便这些决策者可以就工业网络安全计划的资金投入做出更明智的决策。报告将Top 20的网络攻击作为一个标准集,用作与管理层和业务决策者交流网络攻击风险的方法,其中Top 20的攻击代表着不同级别的网络和工程复杂度以及不同程度的不良物理后果。这20种攻击,既包括可以被现有网络防御设施有效防御的攻击,又包括现有网络防御设施无法防御的攻击。
天地和兴工控安全研究院对该报告中列举的Top 20的网络攻击进行了全面的梳理,列出了每项攻击的简要描述、复杂度级别和影响后果,以期从攻击方的能力视角,剖析攻击发起的源头、条件、目的和意图,引起相关行业监管方、工控安全厂商和工控系统运营方的足够重视,警示各方协同联动以强化威胁认知、建强防御体系、实战检视能力,推动我国关键基础设施防御能力的全面提升。
|
攻击名称 |
简要描述 |
复杂程度 |
后果 |
|
#1 ICS内部人员 |
心怀不满的控制系统技术员通过“肩窥”其他技术员的操作来窃取口令,利用窃取的口令登录控制物理过程的设备,并向部分物理过程发出关闭指令,从而自动触发工厂的局部关闭。 |
这是中等复杂的攻击。ICS技术员工往往对如何操作控制系统组件以实现特定目标(例如停机)有很好的理解,但是对基础的工程概念或工业过程中设计的功能安全系统知之甚少。 |
此类事件最常见的后果是工厂部分或全部的关闭。更加严重的物理后果也是可能的,这取决于内部人员及其对工业过程细节的掌握。 |
|
#2 IT内部人员 |
ICS支持技术员访问远程办公室时,心怀不满的IT内部人员可能通过“肩窥”窃取其输入的访问凭据。之后这个心怀不满的内部人员会使用凭据登录到ICS技术员登录的那台工程工作站。该内部人员环顾工作站,并最终找到并开启工厂HMI的开发副本。内部人员可能随机地打开屏幕,并触动可能造成最大损坏或混乱的任何按钮。这些动作将导致工厂部分关闭。 |
这是不复杂的攻击。IT内部人员通常对网络系统、控制系统或物理过程一无所知,但通常确实具有社会工程攻击的机会,可以获取能够登录控制系统网络的凭证。 |
此类事件可能会导致关机或仅引起混乱。最好的情况是,每次此类事件都会触发对工厂设置的工程审查,以确保没有遗留任何错误配置的物理设备,并且将来不会造成故障。 |
|
#3 通常的勒索软件 |
工程师通过连接ICS的工程工作站中搜索技术资料时无意间下载了勒索软件。该恶意软件利用工业网络中尚未修补的已知漏洞,对工程工作站进行加密,同时将勒索软件传播到工业控制系统中的大多数Windows主机。工业网络中的大多数Windows主机被加密后,将导致控制系统关闭。受损的控制系统无法实现有序的关机。几分钟内,工厂操作员将触发紧急安全停机。即使从控制系统中清除了勒索软件并重新启动了工厂生产,紧急停机程序也会损坏工厂的重要设备,工厂生产活动受损会长达数月。 这种攻击的一种变体:勒索软件感染IT工作站,并通过网络共享中的AUTORUN文件、USB驱动器和已知的网络漏洞传播数天,之后再触发加密。因此,IT和ICS网络上的许多计算机都感染,其后果与上述攻击后果相同。 |
自动化的勒索软件的作者在网络方面具有非常丰富的经验,其开发的恶意软件能够通过网络快速自动传播,甚至可以逃避常见的防病毒系统和其他安全防御系统。但是,这类作者往往不大了解物理工业过程或工业控制系统。 |
通常,这种事件造成的最小损害是计划外停机,持续时间与从备份系统中恢复控制系统并重新启动工业过程所需要的时间一致,通常会损失5-10天的生产时间。但是,在最坏的情况下,不受控制的关机可能会严重损坏重要的设备。在这种情况下,需要购买和安装损坏设备的备件,并且在无法立即获得替换件的情况下,必须重新生产损坏设备的备件,以便可以安装和激活它们。在这种最坏情况下的工厂停机时间可能长达12个月。 |
|
#4 针对性的勒索软件 |
具有丰富计算机知识的攻击者可以利用网络钓鱼攻击和恶意附件,专门对IT内部人员进行攻击,并利用远程访问工具(RAT)在IT网络中建立据点。攻击者使用RAT窃取其他凭据,最终获得对工业控制系统的远程访问权限。攻击者在整个ICS中植入勒索软件,并索要赎金。该机构立即禁用了受影响工厂与外部网络之间的所有电子连接,并试图支付赎金。一旦支付机制失败,勒索软件将自动激活,因为没有收到攻击者发出的赎金收到的信号。勒索软件会清除所有受感染设备中的硬盘驱动器和BIOS固件。该工厂紧急停机,设备受损。更换损坏的控制系统计算机并对其重新配置需要一个月的时间,而更换损坏的物理设备则需要几个月的时间。 |
攻击者非常老练且经验丰富。我们越来越多地看到有组织的犯罪组织参与勒索软件攻击。这些组织可以搞到专业水准的恶意软件工具包和开发人员以及专业级RAT运营者。 |
通常必须更换计算机、网络和其他被删除了固件的设备,用网络攻击的术语说这些设备已经“变砖”了。同样,紧急关机可能会损坏物理设备。 |
|
#5 利用0-day的勒索软件 |
情报机构错误地在Internet的命令和控制中心留下了与操作系统、应用程序和防火墙沙箱的零日漏洞列表。一个类似于“影子经纪人”的攻击小组,发现了NSA的零日漏洞,找到了漏洞清单并将其出售给有组织犯罪集团。后面的这个组织载发了自动化的勒索软件,该勒索软件利用Windows操作系统中文件共享软件中的零日漏洞进行传播。 该恶意软件在全球数十个被攻破的网站上同时发布,并立即开始传播。在能够与IT网络直接或间接共享文件的工业站点上,恶意软件会绕过防火墙感染并加密工业站点,从而导致紧急关闭并损坏物理设备。 |
网络攻击只会随着时间的推移变得越来越复杂。安全研究人员和其他人员发现了零日漏洞,而情报机构也获知“泄露”了他们发现或购买的零日漏洞。这种攻击在网络方面非常复杂,在工程方面复杂性稍低。 |
同样,这种事件造成的最小损害是计划外停机,持续的时间与从备份系统中恢复控制系统并重新启动工业过程所需要的时间一样,通常会损失5-10天的生产时间。但是,在最坏的情况下,重要的设备可能会受到无法挽回的损坏,更换所需成本较高,需要花费数周或数月的时间。 |
|
#6 乌克兰攻击 |
一个汇集了大批黑客主义者级别攻击者的组织,通过网络钓鱼攻击窃取了IT远程访问口令。这些攻击者最终攻破了IT网络的Windows域控制器,为自己创建新帐户,并赋予新帐户通用的管理特权,包括对ICS设备的访问权限。攻击者登录ICS设备并观察ICS中HMI的操作,直到他们掌握了许多屏幕和控件的功能。到这个时候,该组织接管了HMI,并使用它对物理过程进行了错误操作。同时,攻击者的同伴使用管理凭据登录ICS设备,擦除了硬盘驱动器,实际情况下还会擦除设备固件。 变化:针对其他行业时,仍然会发生类似的攻击行为,擦除控制系统设备并触发计划外的停机。 |
这是对2016年针对许多乌克兰配电公司的攻击中的攻击技术的总结。攻击者对网络系统有很好的了解,但对配电过程和控制系统的了解有限。 |
在乌克兰被攻击的案例中,有超过200,000人的电力供应中断了长达8个小时。技术人员只能前往每个受影响的变电站,断开控制系统计算机的连接并再次手动打开电源时,才最终恢复供电。一般而言,系统计划外关闭是此类攻击的直接后果,并且可能是紧急情况下不受控制的关闭,伴随此类关闭的后果还有潜在的设备损坏。 |
|
#7 复杂的乌克兰攻击 |
一个更加老练的攻击组织使用了乌克兰攻击的技术,该组织精通网络攻击工具和电力系统的工程细节。除了在乌克兰攻击场景中其开展的行动之外,这个教练的攻击组织使用其攻陷的IT域控制器来破坏双因素身份验证,连接到受保护的中继设备并对其进行重新配置,从而有效地禁用了中继设备。这样攻击组织就可以非常迅速地连接和断开与受影响用户的电流,从而损坏用户家庭和企业中的冰箱、抽水泵和其他电动机。攻击者还能对配电公司管理的少数高压输电变电站的电流进行重新定向,从而使它们过载和过热来破坏高压变压器。 |
该攻击组织在网络和工程方面都非常精通和富有经验。 |
此攻击的后果更为严重。零售商店中的许多大型冰箱会无法使用,给水系统中的大型水泵同样会受到损坏,用户家中的许多小型设备也无法使用。必须紧急更换高压变压器,这需要一周以上的时间。这种变压器在世界范围内没有库存,因此在生产替换变压器的同时,电网其他部分的冗余和容量也会减少,用来缓解紧急状况。 |
|
#8 市场操纵 |
有组织的犯罪集团利用暴露在Internet上服务中的已知漏洞,在IT网络中获得一个据点。他们将远程控制木马(RAT)工具植入受感染的系统,最终获得Windows系统域管理员的权限。攻击者进入信任IT Windows域的ICS计算机,并将RAT技术传播到这些计算机中。由于ICS计算机无法将流量路由到Internet,因此攻击者会通过已攻陷的IT设备通过对等连接来路由流量。一旦进入ICS网络,攻击者就会下载并分析控制系统配置文件。然后,他们对单个PLC进行重新编程,使其随意操作某单个重要的物理设备,同时向工厂HMI报告设备正常运行。在对该工厂的商品产出(例如汽油)需求很旺的季节,该设备会过早磨损。由于这种随机的设备故障,工厂将采取关闭措施以进行紧急维修。 同一攻击发生在附近的两个工厂。一旦设备出现故障,肇事者将从受影响工厂的ICS网络中清除所有留存的证据。受影响商品的价格在商品市场上飙升。当所有工厂的生产恢复正常时,商品价格恢复正常。这类攻击将在下一个需求旺季再次发生。 |
这种攻击和攻击者的网络复杂程度是中等的-不使用零日、也没有编写代码。但这种攻击的工程复杂度很高。攻击者需要接触能够解释控制系统配置的工程师,选择要控制的物理设备,识别控制该设备的PLC,下载该PLC的现有程序,并设计并上传新程序,以使目标物理设备过早磨损,同时向HMI报告设备运行正常。 |
工厂停产和支出设备紧急维修费用。 |
|
#9 复杂的市场操纵 |
更多的网络复杂度高的攻击者实施了市场操纵攻击,但这种攻击方式难以防御。他们利用面向Internet系统中的已知漏洞,来攻击一家服务公司的IT网络,该服务公司向其真实目标提供服务。攻击者编写了自己的RAT恶意软件,仅将其部署在服务公司中,因此防病毒工具无法检测到RAT。攻击者使用RAT攻击需要日常访问实际目标的人员的笔记本电脑。当攻击者检测到被控制的笔记本电脑已连接到真实目标的IT网络时,就会通过远程控制操作RAT,并将RAT传播到目标的IT网络中。 在目标的IT网络内部,攻击者继续操作RAT。入侵检测系统对RAT的活动视而不见,因为攻击流量很小,使用命令行而不是远程桌面式通信,并且命令和控制通信采用隐蔽的方式编码,混淆在看似与被攻击网站之间的正常通信中。该攻击最终传播到ICS网络,其后果与“市场操纵”攻击相同。 |
这种攻击和攻击者的网络复杂度很高。没有使用零日漏洞,但是攻击者定制开发了采用隐写编码通信的恶意软件。像“市场操纵”攻击一样,工程复杂度也很高。
|
工厂停产和支出设备紧急维修费用。 |
|
#10 移动电话WIFI |
老练的攻击者出于某种原因,试图对他们感到不爽的区域进行攻击并造成伤害。攻击者开发了一个极具吸引力的手机应用程序-称之为世界上最奇妙的免费手电筒应用程序。攻击者使用有针对性的社交媒体攻击,诱使位于令其反感的区域内关键基础设施站点的上班族下载该应用程序。该应用程序需要的权限比正常手电筒应用程序真正需要的权限更高,问题就在于这些上班族在网络方面并不精通,并且没想太多就允许了。 该应用程序在手机的后台连续运行。在关键基础设施工作场所中,该应用程序指示手机定期扫描WIFI网络,并将此类网络报告给命令和控制中心。攻击者再次使用社交媒体、社会工程和网络钓鱼攻击来冒充目标组织的内部人员,并提取WIFI网络的口令。这些受口令保护的网络中有个别的就是关键基础设施工业控制系统的一部分。 攻击者利用被控制的手机登录这些网络,并通过远程控制探测网络,直到他们发现容易遭受简单拒绝服务攻击(例如擦除硬盘驱动器或SYN泛洪)的计算机组件。攻击者破坏了工厂的运行,触发了计划外的关停,然后断开与WIFI网络的连接,并在几天后重复这一操作。 变体:在ICS系统WIFI网络范围内工作的内部人员的笔记本电脑上植入恶意软件。 |
这种攻击目前需要高度的网络复杂性,因为开放的互联网上目前不存在能够从手机进行这种类型的隐藏WIFI黑客攻击的工具包,因此攻击者需要自己编写或购买该恶意软件。一旦此类攻击工具广泛且公开可用,此类攻击将属于黑客主义者组织,并且成为工业企业的困扰。攻击只需要较低的工程复杂性即可。
|
要识别导致工厂反复关停的源头是困难的。工厂人员最终应确定攻击源是WIFI网络,并关闭工厂的所有WIFI,或者至少更改所有WIFI口令。 |
|
#11 双因素劫持 |
复杂的攻击者试图对受到最佳工业安全实践保护的工业现场攻击其运行。因此,他们编写了定制的RAT恶意软件来规避防病毒系统,并使用社交媒体研究和针对性的网络钓鱼电子邮件锁定工业现场的技术技术人员。技术人员会激活恶意软件附件并授予该恶意软件的管理特权,因为他们认为该恶意软件是视频编解码器或其他看起来合法的技术。 攻击者并没有在工业现场启动RAT,因为工业现场中复杂的入侵检测系统可能会检测到其运行,而是等到技术人员回家后连接网络,需要远程登录工业站点来解决某些问题。技术人员激活其VPN并使用双因素身份验证登录。此时,恶意软件被激活,将“远程桌面”窗口移动到笔记本电脑屏幕的不可见扩展区域,并向技术人员显示了一条有用的错误消息,内容为“远程桌面已停止响应。单击此处尝试解决问题。” 该恶意软件为攻击者提供了对不可见的远程桌面窗口的远程控制。技术人员开启连接到工业现场的另外一个远程桌面会话,丝毫没有考虑中断的情况。这样,只要技术人员的笔记本电脑和VPN连接正常,高级攻击者就可以访问工业系统。 这里惟一提醒的问题就是,ICS系统的IDS看到的是技术人员登录两次。攻击者最终对系统了解得足够多,以至于可对物理过程进行错误操作,足以严重损坏设备,或通过排放有毒物质造成环境灾难。 |
当前,这需要高度的网络复杂性,因为在开放的Internet上没有可免费下载的此类攻击双因素认证的远程访问工具包。为了带来严重的物理后果,在有限数量的远程访问会话中,可能还需要高度的工程复杂性。 |
任何愿意在这种攻击中投入开发复杂的定制化恶意软件的攻击者,很可能会在攻击中持久潜伏,直到达成其意义非凡的目的。 |
|
#12 IIoT支点 |
对工业厂站的环境实践感到恼火的黑客主义者从大众媒体获悉,该厂站开始使用特定供应商提供的最新的、最先进的工业物联网边缘设备。攻击者在媒体上搜寻,以在规模较小且防御性较差的厂站上找出使用相同组件的其他用户。黑客主义者将这些站点作为网络钓鱼邮件的目标,并在这些使用IIoT的站点中防御最差的的IT和ICS网络上获得立足点。 黑客主义者可以获得对该厂站上供应商的IIoT设备的访问权,并发现这些设备的操作系统是Linux的较旧版本,具有许多已知的漏洞。攻击者接管了IIoT设备当中的一个。在查看了设备上安装的软件之后,他们得出结论,该设备正在通过Internet与知名数据库供应商的云中数据库进行通信。攻击者将Metasploit下载到IIoT设备,并使用针对该数据库供应商的最新漏洞利用工具攻击与云数据库的连接。 他们发现云供应商尚未针对该漏洞应用安全更新,并接管了云供应商中的数据库服务器。在研究关系数据库和受感染边缘设备上的软件时,黑客主义者发现数据库具有命令边缘设备执行任意命令的方法。这是一项“支持功能”,它允许中央云站点更新软件,重新配置设备以及管理该边缘设备中快速演进的代码库中的复杂性。 骇客主义者使用此工具将命令和标准攻击工具以及其他软件发送到ICS网络中的边缘设备,而该ICS网络归属于被其认为是对环境不负责任的厂站。在这些网络内部,攻击者使用这些工具和远程命令工具持续侦察,最终擦除硬盘驱动器或他们能够达成的其他损坏,从而触发计划外的关机。 简而言之,黑客主义者通过从防御不佳的客户转入防御不佳的云,最终攻击了防御严密的云服务的客户。 |
这些攻击者具有中等程度的网络复杂程度。他们可以下载和使用利用已知漏洞的公开攻击工具,可以发起社会工程和网络钓鱼攻击,并且可以利用被盗凭证来获得权限。黑客主义者通常对工程技术的了解非常有限。
|
计划外停机、生产损失以及可能的设备损坏。 |
|
#13 恶意的外包 |
工业厂站会将远程支持功能外包给控制系统组件供应商,例如:工厂历史记录数据库的维护。该供应商将其全球远程支持中心设某个国家,那里有足够的受过良好教育的人员,劳动力和其他运营成本也很低。该支持中心的一名薪水较低的技术员在其他地方找到了薪水较高的工作,并在离开之前决定报复某特定工业现场的人员-因为这些人员向该员工的管理者抱怨该员工的工作不卖力。 心怀不满的技术员使用其合法获得的远程访问权限和双因素凭证以及可连接目标站点的VPN来访问该站点。该员工登录到她可以访问的所有计算机,并在每个计算机上运行一个小脚本,一周后,该脚本将擦除每台计算机上的硬盘驱动器。 |
这是一个具有有限网络复杂性或工程复杂性的敌手,其不能够定制开发恶意软件。该攻击者确实具有凭据并能够远程登录到目标,并且具有该系统的工作原理的一些知识,尤其是如何上传并运行小巧而简单的脚本,或计划好这个脚本将来以管理员权限运行。 |
这种攻击的后果各不相同。例如,没有一家发电厂可以依靠其历史数据库的准确性来进行逐秒逐秒钟的运行-在这样的目标上,如果历史数据库成为攻击目标,后果将是自上次备份以来的历史数据丢失。针对制药厂的历史数据库可能会造成当前批次数据的损失,因为许多此类工厂将其批次记录存储在历史数据库中,并且无法出售批次数据受损的产品。这些批次的价值可以从数十万美元到数亿美元不等。 |
|
#14 攻陷厂商网站 |
我们大多数人都信任我们的ICS供应商-但是我们应该信任他们的网站吗?黑客主义者发现防御不力的ICS供应商网站并将其攻陷。他们下载供应商的最新版本的软件并进行研究。特别是,他们会了解到工业厂站中工业系统的名称或某些其他标识符的存储位置。然后,这些攻击者通过公开媒体查询确定出哪些工业企业是他们厌恶并且使用了前述供应商软件的。 攻击者利用被攻陷的网站解包ICS软件的最新安全更新,并插入一个小脚本。攻击者重新打包安全更新,在Web服务器上用私钥签名了修改后的更新,并发布了被黑的更新以及该更新的新MD5哈希。 随着时间的流逝,许多站点下载并安装了被感染的更新。在每个目标处,脚本都会激活。如果脚本无法在要更新的控制系统中找到目标企业的名称,则该脚本不执行任何操作。当脚本找到企业名称后,它将安装另一个小的脚本,以便在一周后激活,从而擦除硬盘驱动器,并触发计划外的并且可能是不受控制的关闭。 |
这是中等程度的网络复杂程度和有限的工程复杂程度的攻击,是典型的黑客主义攻击行为。攻击者确实了解计算机系统,可以使用现有工具、权限和漏洞。他们确实有足够的知识来逆向分析控制系统产品,并在某种程度上了解它们的工作方式,以及解包和重新打包安全更新。
|
大多数情况下,此类攻击的后果是计划外关闭。但是,如果同时关闭会影响足够多的控制系统,则该故障可能会触发不受控制的关闭,这在许多行业中都有损坏设备的风险。 |
|
#15 攻破远程站点 |
SCADA系统是使用广域网通信的控制系统,例如电网和油气管道。在这样的系统中,诸如变电站和泵站之类的远程站点通常没有配备人员,物理安全性有限,仅有诸如铁丝网、锁和视频监控这类措施。 在这种情况下,攻击者会用物理方式切断远程站点周围的铁丝网上的挂锁,然后进入该站点。攻击者找到了控制设备棚(通常是现场唯一的带屋顶建筑物),然后再次强力破门进入棚中。他走到现场唯一的机架前,将一台笔记本电脑接入交换机,然后用胶带将其绑在机架中较低位置的一台计算机设备的底部,在那儿不太可能被发现。攻击者离开站点。 即使进行了调查,但调查人员仅发现了围栏或锁损坏,没有发现任何明显的损失。没有注意到机架中多余的笔记本电脑。一个月后,攻击者将汽车停在远程站点附近,并通过WIFI与笔记本电脑进行交互,枚举网络并发现回连至中央SCADA站点的连接。攻击者使用笔记本电脑入侵远程站点的设备,然后从那里侵入中央SCADA系统。然后,他/她使用乌克兰式的技术造成物理关闭。 |
这种攻击需要进入到至少一个远程站点,并且需要投入经费支持。应对物理风险以及设备(笔记本电脑)的需求。这里需要黑客主义者级别的网络专业知识才能进入远程站点和中央站点。需要非常有限的工程专业知识来造成乌克兰式的后果。
|
电力,天然气,水或远程站管理的其他任何设施的中断都是此类攻击的最简单结果。擦除硬盘驱动器是另一个简单的结果。工程技术水平较高的攻击者可能会对保护继电器或其他设备保护装置进行重新编程,从而损坏诸如变压器和泵之类的物理设备。对管道设备(尤其是在液体管道中)进行更复杂的操作会产生压力波能够导致管道破裂和泄漏。 |
|
#16 厂商后门 |
软件供应商的软件开发人员将后门插入工业控制系统网络上使用的软件。这可以是ICS软件,也可以是驱动程序、管理软件、操作系统、网络连接程序或ICS网络上使用的其他软件。后门可能是在软件供应商的许可下安装的,作为“支持机制”,或者可能是由软件开发人员出于恶意而秘密安装的。 该软件每周检查供应商网站上的软件更新,并在更新可用时通过屏幕上的消息通知用户。在最终用户不知情的情况下,它会在网站指示时建立与更新通知网站的持久连接,并允许访问该网站的人员远程在ICS网络上操作计算机。黑客主义级的攻击者发现了此后门,通过对供应商的网络钓鱼攻击来攻陷供应商的软件更新网站,并使用后门损害某类企业的工业厂站的运行,之所以选择该企业,是因为黑客主义者对该企业不感冒。 请注意,防病毒系统不太可能发现此后门,因为这不是自动传播类的恶意软件,即不属于AV系统防御的目标恶意软件。沙盒系统也不大可能发现它,因为这些沙盒系统唯一可观察到的网络感知行为,就是定期调用合法供应商的软件更新站点,寻求更新指令。 |
要在供应商的产品源代码和更新网站的源代码中写入后门,需要中等程度的网络复杂性。但是,这样的源代码当然在软件开发商的能力范围之内,因为通常聘用这种开发者来开发的代码,显然比这种后门代码的复杂度更高。黑客主义者发现后门是需要具备一定程度的网络复杂度。只需要有限的工程技术就能导致工厂关停。造成设备损坏和功能安全性隐患,则需要更高的复杂度。
|
进行此类攻击的黑客主义者级攻击者很容易造成工厂关闭和硬盘擦除。更加精通工程的攻击者最有可能造成设备损坏,有时甚至使工作人员人身安全或公共安全受到威胁。 |
|
#17 震网-Stuxnet |
富有经验的攻击者会锁定特定的且防御严密的工业厂站。他们首先攻陷了一家防御性较差的服务供应商,并获取有关重点保护厂站的详细设计和防御措施信息。攻击者会定制开发针对该厂站的自动化恶意软件,并对该厂站的设备造成物理损坏。自主恶意软件利用零日漏洞。服务提供商通过移动介质将恶意软件携带至厂站内。防病毒扫描程序对自定义的利用零日漏洞的恶意软件不具备发现能力。 |
此类攻击需要高度的工程复杂性,以了解物理过程和控制系统组件,并绕过设备保护和功能安全系统。攻击还需要高度的网络复杂性,才能将该新攻击编码为定制的恶意软件,而目标站点中部署的特定网络安全技术无法检测到该恶意软件。 |
由于Stuxnet蠕虫在生产过程中的干扰,被Stuxnet瞄准的Natanz铀浓缩工厂被认为减少了几个月的浓缩铀产量,甚至是零产量。据估计,该地点还遭受了过早老化和1000-2000铀气体离心机的破坏。一般而言,此类攻击可以绕过除物理安全和保护设备之外的所有设备,并可能导致人员伤亡、公共安全风险和昂贵的设备损坏。 |
|
#18 硬件供应链 |
经验老道的攻击者会攻陷某个具有严密安全防御的工业厂站的企业的IT网络。攻击者窃取有关供应链的信息,比如哪些供应商向该工业厂站提供服务器和工作站,哪些供应商例行地运送设备到该厂站。攻击者之后培养与物流组织中的送货司机的关系,通常向司机支付适度的金钱,以便与他们有2个小时的午餐时间,而不是1个小时的间休时间。 当有IT情报表明,有新的计算机正在运往工业厂站时,特工会利用2小时的时间窗口闯入送货车,打开发往工业厂站的包装箱,将可无线访问的单板计算机插入新设备,然后重新包装新设备,以使篡改行为不被发现。在IT记录表明设备已投入生产一段时间后,攻击者可以通过无线访问其嵌入的计算机,以操纵物理过程。攻击者最终破坏了设备保护措施,妨碍了工厂的生产,这似乎是一连串非常不幸的、随机的设备故障。 |
这是一个非常复杂的攻击行为。该攻击者具有实际的苛刻条件,可以执行秘密行动,例如闯入送货卡车,并迅速拆卸、改装、重新组装和重新包装被攻击的设备。攻击者精通网络,可以在目标的IT网络上长期存在,并了解各种计算机设备的设计,且足够了解如何巧妙地将其他硬件插入该设备。攻击者还具有高度的工程技术水平,足够了解物理过程,控制系统和设备保护系统的结构,足以设计和执行物理破坏,并使损坏的设备看起来像随机故障。 |
代价高昂的设备故障和工厂产量远低于目标。 |
|
#19 民族国家的密码攻击 |
一个民族国家级的攻击者可以通过从著名的证书颁发机构窃取证书,或者通过破解流行的加密系统并伪造证书来攻击PKI加密系统。攻击者攻陷了Internet基础设施,以拦截从站点到软件供应商的连接,并欺骗站点下载具有合法供应商签名的恶意软件。该恶意软件建立了可隐蔽穿越ICS防火墙和DMZ的对等通信,这些隐蔽通道似乎是由供应商认可的合法通道。这个民族国家级的对手通过远程控制来运营恶意软件,掌控目标站点。这样的对手会定制开发攻击工具,这些攻击工具在激活后会将“毒气”释放到工业环境中,严重损坏设备并关闭工厂。 |
这是一个非常复杂老练的对手,能够攻破许多作为安全程序基础的加密、证书、签名和加密哈希。 |
公共安全风险以及可能危及人身安全,昂贵的设备损坏和生产损失。
|
|
#20 策反掌握凭证的ICS内部人员 |
一个老练的攻击者可以向工业厂站的ICS内部人员行贿。该内部人员系统性地向攻击者泄漏有关物理过程和工业控制系统设计的信息。攻击者会开发定制的自主的恶意软件。该内部人员使用其内部凭据故意在系统上释放恶意软件。几个小时后,恶意软件激活了。一天后,工厂发生爆炸,炸死了许多工人,造成了十亿美元的损失,该厂站被迫关闭12-18个月。 |
这是一个在物理运行中具备高度复杂的攻击者,它会贿赂内部人员,高度复杂的工程技术来确定站点的安全和设备保护系统未曾预料到的网络攻击或确定如何击溃这些保护措施,以及高度的网络复杂性,可开发不可检测的、定制的、自主的恶意软件。 |
生命损失,昂贵的设备损坏和生产损失。 |
天地和兴,Waterfall,ICS,网络攻击20强
下一条:
相关资讯
