[[125489]]

近年來(lái)，針對(duì)工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足。我們?yōu)榇蠹覅R總了世界七大典型的世界工控網(wǎng)絡(luò)安全事件，以了解工業(yè)控制系統(tǒng)所面臨的安全威脅，促進(jìn)國(guó)內(nèi)工控網(wǎng)絡(luò)安全事業(yè)不斷發(fā)展。

一、澳大利亞馬盧奇污水處理廠非法入侵事件

2000年3月，澳大利亞昆士蘭新建的馬盧奇污水處理廠出現(xiàn)故障，無(wú)線連接信號(hào)丟失，污水泵工作異常，報(bào)警器也沒(méi)有報(bào)警。本以為是新系統(tǒng)的磨合問(wèn)題，后來(lái)發(fā)現(xiàn)是該廠前工程師VitekBoden因不滿工作續(xù)約被拒而蓄意報(bào)復(fù)所為。

這位前工程師通過(guò)一臺(tái)手提電腦和一個(gè)無(wú)線發(fā)射器控制了150個(gè)污水泵站;前后三個(gè)多月，總計(jì)有100萬(wàn)公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。

二、美國(guó)Davis-Besse核電站受到Slammer蠕蟲攻擊事件

2003年1月，美國(guó)俄亥俄州Davis-Besse核電站和其它電力設(shè)備受到SQLSlammer蠕蟲病毒攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致該核電站計(jì)算機(jī)處理速度變緩、安全參數(shù)顯示系統(tǒng)和過(guò)程控制計(jì)算機(jī)連續(xù)數(shù)小時(shí)無(wú)法工作。

經(jīng)調(diào)查發(fā)現(xiàn)，一供應(yīng)商為給服務(wù)器提供應(yīng)用軟件，在該核電站網(wǎng)絡(luò)防火墻后端建立了一個(gè)無(wú)防護(hù)的T1鏈接，病毒就是通過(guò)這個(gè)鏈接進(jìn)入核電站網(wǎng)絡(luò)的。這種病毒主要利用SQLServer2000中1434端口的緩沖區(qū)溢出漏洞進(jìn)行攻擊，并駐留在內(nèi)存中，不斷散播自身，使得網(wǎng)絡(luò)擁堵，造成SQLServer無(wú)法正常工作或宕機(jī)。實(shí)際上，微軟在半年前就發(fā)布了針對(duì)SQLServer2000這個(gè)漏洞的補(bǔ)丁程序，但該核電站并沒(méi)有及時(shí)進(jìn)行更新，結(jié)果被Slammer病毒乘虛而入。

三、美國(guó)BrownsFerry核電站受到網(wǎng)絡(luò)攻擊事件

2006年8月，美國(guó)阿拉巴馬州的BrownsFerry核電站3號(hào)機(jī)組受到網(wǎng)絡(luò)攻擊，反應(yīng)堆再循環(huán)泵和冷凝除礦控制器工作失靈，導(dǎo)致3號(hào)機(jī)組被迫關(guān)閉。

原來(lái)，調(diào)節(jié)再循環(huán)泵馬達(dá)速度的變頻器(VFD)和用于冷凝除礦的可編程邏輯控制器(PLC)中都內(nèi)嵌了微處理器。通過(guò)微處理器，VFD和PLC可以在以太局域網(wǎng)中接受廣播式數(shù)據(jù)通訊。但是，由于當(dāng)天核電站局域網(wǎng)中出現(xiàn)了信息洪流，VFD和PLC無(wú)法及時(shí)處理，致使兩設(shè)備癱瘓。

四、美國(guó)Hatch核電廠自動(dòng)停機(jī)事件

2008年3月，美國(guó)喬治亞州的Hatch核電廠2號(hào)機(jī)組發(fā)生自動(dòng)停機(jī)事件。

當(dāng)時(shí)，一位工程師正在對(duì)該廠業(yè)務(wù)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)(用于采集控制網(wǎng)絡(luò)中的診斷數(shù)據(jù))進(jìn)行軟件更新，以同步業(yè)務(wù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)中的數(shù)據(jù)信息。當(dāng)工程師重啟該計(jì)算機(jī)時(shí)，同步程序重置了控制網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù)，使得控制系統(tǒng)以為反應(yīng)堆儲(chǔ)水庫(kù)水位突然下降，自動(dòng)關(guān)閉了整個(gè)機(jī)組。

五、震網(wǎng)病毒攻擊美國(guó)Chevron Stuxnet等四家石油公司

2012年，位于美國(guó)加州的Chevron石油公司對(duì)外承認(rèn)，他們的計(jì)算機(jī)系統(tǒng)曾受到專用于攻擊伊朗核設(shè)施的震網(wǎng)病毒的襲擊。不僅如此，美國(guó)BakerHughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計(jì)算機(jī)系統(tǒng)也感染了震網(wǎng)病毒。他們警告說(shuō)一旦病毒侵害了真空閥，就會(huì)造成離岸鉆探設(shè)備失火、人員傷亡和生產(chǎn)停頓等重大事故。

雖然美國(guó)官員指這種病毒不具有傳播用途，只對(duì)伊朗核設(shè)施有效，但事實(shí)證明，震網(wǎng)病毒已確確實(shí)實(shí)擴(kuò)散開來(lái)。

六、Duqu病毒(Stuxnet變種)出現(xiàn)

2011年安全專家檢測(cè)到Stuxnet病毒的一個(gè)新型變種—Duqu木馬病毒，這種病毒比Stuxnet病毒更加聰明、強(qiáng)大。與Stuxnet不同的是，Duqu木馬不是為了破壞工業(yè)控制系統(tǒng)，而是潛伏并收集攻擊目標(biāo)的各種信息，以供未來(lái)網(wǎng)絡(luò)襲擊之用。前不久，已有企業(yè)宣稱他們的設(shè)施中已經(jīng)發(fā)現(xiàn)有Duqu代碼。目前，Duqu僵尸網(wǎng)絡(luò)已經(jīng)完成了它的信息偵測(cè)任務(wù)，正在悄然等待中……。沒(méi)人知曉下一次攻擊何時(shí)爆發(fā)。

七、比Suxnet強(qiáng)大20倍的Flame火焰病毒肆虐中東地區(qū)

Flame火焰病毒具有超強(qiáng)的數(shù)據(jù)攫取能力，不僅襲擊了伊朗的相關(guān)設(shè)施，還影響了整個(gè)中東地區(qū)。據(jù)報(bào)道，該病毒是以色列為了打聾、打啞、打盲伊朗空中防御系統(tǒng)、摧毀其控制中心而實(shí)施的高科技的網(wǎng)絡(luò)武器。以色列計(jì)劃還包括打擊德黑蘭所有通訊網(wǎng)絡(luò)設(shè)施，包括電力、雷達(dá)、控制中心等。

我們發(fā)現(xiàn)，F(xiàn)lame火焰病毒最早誕生于2010年，迄今為止還在不斷發(fā)展變化中。該病毒結(jié)構(gòu)非常復(fù)雜，綜合了多種網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)間諜特征。一旦感染了系統(tǒng)，該病毒就會(huì)實(shí)施一系列操作，如監(jiān)聽網(wǎng)絡(luò)通訊、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等等;所有相關(guān)數(shù)據(jù)都可以遠(yuǎn)程獲取。

可以說(shuō)，F(xiàn)lame病毒的威力大大超過(guò)了目前所有已知的網(wǎng)絡(luò)威脅。