近年来,针对工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。东方安全为大家汇总了世界七大典型的世界工控网络安全事件,以了解工业控制系统所面临的安全威胁,促进国内工控网络安全事业不断发展。
一、 澳大利亚马卢奇污水处理厂非法入侵事件
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
二、 美国Davis-Besse核电站受到Slammer 蠕虫攻击事件
2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQL Slammer蠕虫病毒攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。
经调查发现,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个无防护的T1链接,病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQL Server 2000中1434端口的缓冲区溢出漏洞进行攻击,并驻留在内存中,不断散播自身,使得网络拥堵,造成SQL Server无法正常工作或宕机。实际上,微软在半年前就发布了针对SQL Server 2000这个漏洞的补丁程序,但该核电站并没有及时进行更新,结果被Slammer病毒乘虚而入。
三、 美国Browns Ferry核电站受到网络攻击事件
2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。
原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两设备瘫痪。
四、 美国Hatch核电厂自动停机事件
2008年3月,美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。
当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
五、 震网)病毒攻击美国Chevron(Stuxnet等四家石油公司
2012年,位于美国加州的Chevron石油公司对外承认,他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此,美国Baker Hughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
虽然美国官员指这种病毒不具有传播用途,只对伊朗核设施有效,但事实证明,震网病毒已确确实实扩散开来。
六、 Duqu病毒(Stuxnet变种)出现
2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是,Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。前不久,已有企业宣称他们的设施中已经发现有Duqu代码。目前,Duqu僵尸网络已经完成了它的信息侦测任务,正在悄然等待中……。没人知晓下一次攻击何时爆发。
七、 比Suxnet强大20倍的Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通讯网络设施,包括电力、雷达、控制中心等。
谷神星网络发现,Flame火焰病毒最早诞生于2010年,迄今为止还在不断发展变化中。该病毒结构非常复杂,综合了多种网络攻击和网络间谍特征。一旦感染了系统,该病毒就会实施一系列操作,如监听网络通讯、截取屏幕信息、记录音频通话、截获键盘信息等等;所有相关数据都可以远程获取。
可以说,Flame病毒的威力大大超过了目前所有已知的网络威胁。