德国钢厂遭受网络攻击 伊朗铀浓缩工厂“震网”事件再现

2014年年底,德国联邦信息安全办公室(BSI)发布了一份2014年的信息安全报告,这份长达44页的报告中披露了一起针对IT安全关键基础设施的网络攻击,并造成重大物理伤害。

受攻击方是德国的一个钢铁厂,遭受到高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢厂办公网络的访问权。然后利用这个网络,设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,从而给钢厂带来了重大破坏。

Gartner德国公司的分析人员表示,目前还不清楚破坏的具体情况,是否属于永久性的损害。似乎炼钢炉的物理损害只是无意中的连带损失,真正的目的可能是阴谋破坏竞争对手。但当前没有足够的证据,只能做出经验性的推断。

另一位安全研究人员表示,攻击者可能通过人机交互界面或其他控制系统,直接连接到工厂造成的破坏。但目前并不清楚钓鱼攻击使用的具体手段,比如特定的恶意软件。如果是针对工业控制系统的恶意软件的话,那就是第四起公开的案例。前三起专门针对工控系统的恶意软件攻击案例,分别是震网(Stuxnet)、Havex和黑色能量(BlackEnergy)

报告声称,基于攻击者所采取的行为,该组织不仅具备传统的信息安全高级技术,还对工业系统和生产过程非常熟悉。

要达到这样的一种破坏,不只是对Windows系统的深入了解。在控制了计算机之后,以后的事情更加复杂高端。通常,工控系统的计算机并不运行Winows,而是一些特定的实时操作系统,如QNX、OSE或是VxWorks等,针对这些系统写代码并不容易。但这还不是最难的部分,最复杂的部分在于知道如何控制这些工业设备。对于炼钢炉来说,需要专业的知识来控制它。而这些知识是无法从普通的书本中看到的。

德国联邦信息安全办公室的报告还声称,几家德国企业已经成为被叫做“能源熊”或“蜻蜓”网络间谍活动的目标。该间谍行动专门针对工控系统,尤其是能源领域的工控系统,其使用的恶意软件就是Havex。