改變工控安全認知的病毒——震網病毒

網上時常流傳著一句話：“世界上最高級的戰爭莫過于直到被攻擊，都不知道敵人的火力從何而來。”這句話在伊朗身上得到了印證。

2010年中旬，白俄羅斯賽門鐵克安全公司指派幾名安全人員去檢查伊朗客戶的故障電腦，在檢查過程中，安全人員無意間發現了一個非常不同尋常的電腦病毒，隨后他們將病毒的一些信息上傳到了安全社區，立刻引起了網絡安全界的轟動，這款病毒就是后來我們所熟知的“震網病毒”。

“震網病毒”是人類歷史上第一個實現物理精準打擊的計算機病毒，由美國、以色列等國家聯合設計。震網事件發生之前，大多數人會認為工控網絡與傳統信息網絡處在一個物理隔離的狀態，網絡病毒不會對工控系統產生影響，而震網事件讓人們意識到即使是物理隔離的專用局域網，也并非牢不可破;專用的工業控制系統，也可能會受到攻擊。

什么是“震網病毒”

“震網病毒”跟普通病毒本質上的區別是它運用了4個“ZERO DAY”漏洞，即“零日漏洞”。“零日漏洞”指沒有被開發商或安全公司所發現的系統漏洞，它相當于一把萬能鑰匙，能夠突破防御，對系統進行控制。此前，“零日漏洞”的發現數量每年大約在10個左右，而單“震網病毒”就使用了4個，這已經不是普通的黑客或者黑客組織所能制造出的病毒。

在傳播方面，“震網病毒”并不依賴于互聯網，而是通過U盤來感染內部網絡，在感染一臺電腦后，它不會立刻發動攻擊，而是先隱藏在系統的最底層，掃描被攻擊電腦是否安裝了西門子的Step7或WinCC這兩款工業控制軟件，工廠中的技術人員一般都是通過控制軟件編寫業務指令來控制PLC。

此外，“震網病毒”的攻擊還針對一種當時只在伊朗生產的變頻器，變頻器是用來控制離心機轉速的設備，在核設施中起到至關重要的作用。而離心機是提煉鈾235的關鍵設備，一般的濃縮鈾工廠會通過部署大量的離心機來提煉鈾235，低純度的鈾235可用來發電或者醫療，高純度的鈾235可用來制造核武器。通過這些發現，安全專家推斷出：“震網病毒”是專門用來打擊伊朗核工業的網絡病毒。

“震網病毒”如何實現物理攻擊

“震網病毒”的研發者偷偷的將病毒注入到伊朗四家離心機供應商的員工電腦里，以U盤為媒介，通過Windows系統的自動播放功能最終傳播到伊朗濃縮鈾工廠的計算機系統中。

第一步：病毒會利用盜用的電子簽名躲過病毒軟件的防護并潛伏下來，然后開始記錄離心機集群的運行數據。

第二步：當搜集到足夠多的數據之后，影響工廠里的SCADA監控系統，使監控系統上的數值一直保持在正常的范圍之內。

第三步：通過截取控制軟件發送給PLC的指令，找出應用在離心機上的軟件，向離心機發出虛假指令，使一部分離心機超負荷運轉，一部分處在極度的低速。由于監控系統中的數值一直顯示正常，而且病毒每天攻擊的時間只有一小時，這讓當時的核電站工作人員很難發現其中的異常。

導致后果：之后的一段時間里，伊朗濃縮鈾工廠的離心機經常大規模損壞，使得鈾的出產速度一直跟不上核工業的發展進程。而且，離心機中的一些關鍵零件屬于國際嚴格管控的物品，購買起來十分困難，最終導致伊朗整個國家的核計劃遭到沉重打擊。

如今隨著“工業4.0”和“互聯網+”時代的到來，工控網絡開始向著分布式、智能化的方向發展，越來越多基于TCP/IP的通信協議被采用，工業控制系統的“孤島”被打破。工業控制系統的網絡化、智能化在提高生產效率和管理效率的同時，也為惡意攻擊增加了新的攻擊途徑，震網事件之后越來越多的惡意攻擊事件發生，使得很多人開始意識到工控安全的重要性。

· 2015年，烏克蘭電力遭受BlackEnergy惡意軟件的攻擊;

· 2017年，勒索病毒全球泛濫;

· 2018年，臺積電WannaCry變種病毒感染事件;

· 2020年，本田及達飛集團等公司遭受勒索軟件攻;

……

工業控制系統的安全威脅在逐步加大

為了應對工控安全事件的頻發，我國先后出臺了許多政策和規范，從2011年工信部的451號《關于加強工業控制系統信息安全管理的通知》，到2017年工信部122號《工業控制系統信息安全事件應急管理工作指南》，再到2017年6月1日正式實施的《網絡安全法》和2019年的《信息安全技術網絡安全等級保護基本要求》，表明我國政府已經將工控系統的安全問題上升到了國家戰略的高度。

來源：立思辰工控安全? ?作者 七安