工控\物聯網安全事故積累

1 工控安全事故：

從工信部2011年下發451号檔案《關于加強工業控制系統資訊安全管理的通知》，明确規定加強重點領域工控資訊系統安全管理措施；到2014年2月27日， 中央網絡安全和資訊化上司小組宣告成立，标志着網絡安全已被提升到國家戰略層面。2016年11月3日，工信部網站正式釋出“工業和資訊化部關于印發《工業控制系統資訊安全防護指南》（工信軟函〔2016〕338号），對工控資訊安全做了标準化的技術要求。

(1)    2003 年 12 月 30 日，我國的龍泉、政平、鵝城換流站控制系統病毒傳播事件。

(2)    2003 年 8 月14 日美國東北部地區和加拿大聯合電網由于網絡與XA/21 系統的漏洞，被攻擊後緻使主伺服器崩潰，導緻發生大面積停電事故。

(3)    2003 年 美國俄亥俄州 Davis-Besse 的核電廠控制網絡内的一台計算機被 SQL Server 蠕蟲所感染，導緻其安全監控系統停機将近5 小時。

(4)    2008 年，黑客劫持了南美洲某國的電網控制系統，導緻電力中斷幾分鐘。

(5)    2008 年美國中央情報局 (CIA) 官員湯姆·唐納休 (Tom Donahue) 在“SANS”( 系統和網絡安全 ) 貿易大會上透露，美國曾發生數起黑客通過網際網路攻破當地供電網絡導緻數個城市出現照明中斷的事故。

(6)    2008 年，美國國土安全局示範通過攻擊電力控制系統後緻使一台發電機實體損壞。

(7)    2010 年 6 月，一個名為 Stuxnet 處于休眠狀态的病毒潛伏在伊朗的鈾濃縮設施網絡中，Stuxnet 在位于納坦茲的離心機中被激活，控制了30%的納坦茲設施的計算機，緻使伊朗暫時關閉了核設施和核電廠。

(8)    2011 年夏天在美國黑帽大會上黑客展示了可以利用執行記憶體轉儲、捕捉密碼的 PLC 的後門程式。如對 PLC 進行 24 小時的攻擊可導緻電廠爆炸，這意味SCADA(Supervisory Control And Data Acquisition) 系統也将成為直接攻擊的目标。

(9)    2000年10月 13日 ，四川二灘水電廠控制系統收到異常信号停機，7s出力89萬kW,川渝電網幾乎瓦解。 二灘水電廠事件發生後，為提高電力生産控制系統的安全防護能力，經大量研究論證，國家非常重視電力系統的資訊安全，相繼出台了《電力二次系統安全防護規定》(電監會5号令)、《電力二次系統安全防護總體方案》（電監安全［2006］34号）、《電力行業資訊系統安全等級保護定級工作指導意見》（電監資訊［2007］44号）等規定。

(10)  2016年8月，網絡安全界監測到了Operation Ghoul（食屍鬼行動）網絡攻擊，OperationGhoul針對30多個國家的工業、制造業和工程管理機構發起了定向滲透入侵。攻擊者通過僞裝阿聯酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發起了定向網絡入侵。攻擊中使用鍵盤記錄程式HawkEye收集受害系統相關資訊。

2 IOT安全事故：

物聯網裝置被用于實施DDoS攻擊愈演愈烈:近日，網絡安全廠商賽門鐵克公布了一項針對物聯網安全的調研結果，深入分析網絡攻擊者如何在網絡裝置擁有者不知情的情況下，利用物聯網安全裝置的漏洞傳播惡意軟體或建立僵屍網絡。

賽門鐵克安全響應團隊發現，網絡罪犯通過劫持家庭網絡和消費互聯裝置實施分布式拒絕服務 (DDoS) 攻擊，目标通常為更加有利可圖的大型企業。為了成功實施攻擊，網絡罪犯通過感染缺乏進階安全性的裝置，編織一個大型的消費裝置網絡，以獲得更加經濟的帶寬。

根據惡意軟體攻擊的IP位址，超過一半的物聯網攻擊源于中國和美國。此外，還有大量的攻擊來自德國、荷蘭、俄羅斯、烏克蘭和越南。事實上，在一些情況下，攻擊者将IP位址作為代理，用來隐藏自身的真實位置。大部分物聯網惡意軟體将非PC嵌入式裝置作為攻擊目标，例如Web伺服器、路由器、數據機、網絡連接配接存儲 (NAS)裝置、閉路電視 (CCTV)系統和工業控制系統等。許多裝置可以通過網際網路通路，但由于作業系統和處理能力的局限性，這些裝置可能不具有任何進階的安全特性。

現在，網絡攻擊者已經十分了解物聯網存在的安全缺陷，很多網絡攻擊者開始利用常用的預設密碼預先編寫惡意軟體，以便更加輕松地對物聯網裝置發起攻擊。由于許多物聯網裝置的安全性較低，這使他們更容易成為攻擊目标，而受害者往往意識不到他們已經遭受感染。

除此之外，本次調研還發現以下結果：

2015年是物聯網遭遇攻擊的創紀錄年，有關家庭自動化和家庭安全裝置遭遇劫持的懷疑事件層出不窮。到目前為止，根據各類攻擊報告顯示，大部分攻擊者對受害者本身不太感興趣，反而是意圖将受到劫持的裝置添加到僵屍網絡中，以用于實施DDoS攻擊。

物聯網裝置專為‘即插即用’而設計，在基礎設定後，十分容易被擁有者忽略，這也是導緻物聯網裝置成為主要攻擊對象的原因。毫無意外，惡意軟體用來嘗試登入物聯網裝置的常用密碼是‘root’和‘admin’組合，這也說明，在通常情況下，使用者從不更改預設密碼。

随着越來越多的嵌入式裝置連接配接至網際網路，未來可能會更加頻繁地出現多物聯網平台同步受到攻擊的事件。

2.1  利比亞遭受大型網絡攻擊

    2016-11-23網易消息近日，利比亞遭到大型網絡攻擊，全國的網絡連接配接都是以失效。據猜測，這輪針對利比亞的攻擊目标是關閉整個區域的網絡，而且很可能隻是發起另一輪更大型攻擊前的排練。

    利比亞發生的這輪攻擊實際上一共連續發生了數波，在此期間使用者一直無法使用網絡服務。在這一陣的攻擊中，黑客使用了多種方法進行攻擊，是以很多人猜測這是他們在嘗試使用不同的方法入侵，從中尋找出破壞性最大的方法。而這次攻擊使用的方法與此前美國遭受的攻擊有相同之處，都是利用了多種智能外設的漏洞進行的。據行業人士推測，這些智能外設有可能都設定到了同一個僵屍網絡中，由某個人統一布局，根據不同目的完成多種任務，比如同時往某個地方發送請求和流量，造成伺服器過度擁堵而癱瘓。

    随着物聯網裝置、智能裝置的普及，似乎這已經成為了黑客第一時間尋找攻擊下手的地方，包括網絡攝像頭這樣簡單的裝置都有可能存在不少可入侵的漏洞。在IOT時代，所有裝置都接入網際網路固然存在很多優勢和便利之處，但也意味着對于網絡安全的要求也進一步提高。簡單一點的方法，如果被僵屍網絡操控，這些裝置往往就組合成為了龐大的機器人軍團，隻需要非常簡單的弱密碼發送，每台裝置的指令集合産生的巨大流量就有可能造成電路過載和崩潰癱瘓。

    實際上在此前利比亞已經遭受過類似的攻擊，當時利比亞有許多的大型網站都癱瘓了。據相關專家推測，這前後兩次的攻擊可能存在聯系，而且很有可能就是同一波人發起的。這些人看起來十分有經驗，而且因為他們使用的方法非常複雜，完全有可能玩壞整個國家的網絡。

    這次在利比亞發生的連續間斷的攻擊有可能會影響到到利比亞和其他西非國家共享的海底電纜，是以接下來這些西非國家的工程師應該有一陣可以忙了。

2.2  北美DDoS事件概述

美國當地時間2016年10月21日，黑客組織NewWorldHackers和Anonymous通過網際網路控制了美國大量的網絡攝像頭和相關的 DVR 錄像機，然後操縱這些“殭屍電腦”攻擊了為美國衆多公司提供域名解析網絡服務的DYN公司，影響到的廠商服務包括：Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom等。該攻擊事件一直持續到當地時間13點45分左右。

據分析，黑客們使用了一種被稱作“物聯網破壞者”的Mirai病毒來進行“殭屍電腦”搜尋。更為緻命的是，Mirai病毒的源代碼在2016年9月的時候被公開釋出，導緻大量黑客對這個病毒進行了更新，更新後版本的傳染性、危害性比前代更高（Mirai日語的意思是“未來”，研究人員将新變種命名為“Hajime”，日語的意思是“起點”）。Mirai 病毒是一種通過網際網路搜尋物聯網裝置的病毒，當它掃描到一台物聯網裝置（如網絡攝像頭、DVR裝置等）後會嘗試使用弱密碼進行登陸（Mirai 病毒自帶 60個通用密碼），如果登陸成功，這台物聯網裝置就會進入“殭屍電腦”名單，并被黑客操控攻擊其他網絡裝置。

據悉，此次DDoS攻擊事件涉及的IP數量達到千萬量級，一共有超過百萬台物聯網裝置參與了此次 DDoS 攻擊。

其中，這些裝置中有大量的 DVR（數字錄像機，一般用來記錄監控錄像，使用者可聯網檢視）和網絡攝像頭（通過 Wifi 來聯網，使用者可以使用 App 進行實時檢視的攝像頭）。而資料顯示，參與本次 DDoS 攻擊的裝置中，主要來自于中國雄邁科技生産的裝置。這家公司生産的攝像模組被許多網絡攝像頭、DVR 解決方案廠家采用。