写在前面的话
勒索软件已经成为了商务企业、教育机构以及医疗卫生部门的心头大患。而近期又有网络安全研究人员发现,通过恶意软件来攻击城市的基础设施其实也并没有多大的难度。这些基础设施是一个城市能够正常运转的基础,这无疑是在我们目前生活环境的安全状况雪上加霜。
公共基础设施处于安全风险之中
就在情人节的这一天,来自佐治亚理工学院的网络安全研究专家披露了一款由他们自行设计和开发的新型勒索软件,而需要注意的是,这是一款专门针对工业控制系统的恶意软件。研究人员也通过实验证明了,这款勒索软件可以轻而易举地“拿下”城市的污水处理系统。
虽然此次攻击实验的对象并非真正的城市污水处理系统,而是模拟出来的,但这也足以证明网络攻击者可以通过恶意软件破坏我们日常生活所必须的一些关键基础设施。除了污水处理系统之外,还有能源供应系统、水资源供应系统、供暖系统、通风系统、空调控制系统和自动扶梯控制器都将处于安全风险之中。
研究成果发布
目前,研究人员已经在美国旧金山的RSA大会(中国时间2017年2月14日-2月18日,关于大会的详细内容请随时关注安全客的跟进报道http://bobao.360.cn/interref/detail/5.html )上公布了他们的研究成果。
在此次RSA大会上,该研究团队也向我们描述了他们是如何去识别工业设备中各种常见可编程逻辑控制器(PLC)的。在获取到了三种不同的工业设备之后,研究人员立刻对这些设备的安全等级和安全状态进行了测试,例如密码保护状态以及它们抵御恶意攻击的能力。
研究人员利用可编程逻辑控制器(PLC)和一些水管以及水箱等工具模拟出了一个小型的污水处理系统,但是这个小型系统的功能并不是对水进行过滤和净化的。研究人员将原本用于净化水的氯替换成了碘和淀粉,当攻击者通过恶意远程控制来向水中添加碘时,水箱中的水就会变成蓝色。
首先,研究人员通过类似钓鱼邮件和恶意链接等常见的攻击方法让目标系统成功感染勒索软件,然后再利用勒索软件来对目标系统实施模拟攻击。实验结果表明,这款新型的勒索软件能够关闭并锁定关键的工业控制系统。
当某个工业控制系统被攻击者恶意关闭之后,也就意味着这个系统成为了攻击者手中的“人质”。此时,如果有关部门拒绝支付赎金的话,攻击者就可以威胁在城市供水系统中添加过量的氯,而这将会给整个城市居民的人身安全带来危险。
除此之外该研究团队还表示,攻击者还可以通过攻击系统的可编程逻辑控制器(PLC)来关闭水阀或篡改设备读数。
来自佐治亚理工学院电气与计算机工程系的博士生David Formby表示:“适量的氯可以对水进行消毒,而且饮用起来也不会对人的身体造成伤害。但是水中添加过量的氯将会使人体产生多种不良反应,所以这种情况下的水是非常危险的。”
在研究如何攻击这些可编程逻辑控制器(PLC)的过程中,研究人员发现了1400多种不同类型的可编程逻辑控制器(PLC),而我们可以通过互联网轻而易举地访问这些可编程逻辑控制器(PLC)。大多数情况下,这些设备都会有企业网络防火墙的保护,但是当整个网络环境不再安全的情况下,这些防火墙也就相当于是形同虚设了。
在此之前已经发生过很多次针对嵌入式工业控制系统的勒索软件攻击事件了,而且我们也可以看到了勒索软件将会给医院带来多么大的恶劣影响。在某些情况下,相对于赎金这种经济负担而言,恶意网络攻击所带来的负面影响会更加可怕。对于医院来说,这种负面影响将会直接影响到病人的安危,病人的生命将会受到严重的威胁,城市的净水系统也是一样,如果这些系统遭到攻击,那么受此影响的人可就不是一个两个了。
佐治亚理工学院电气与计算机工程系的教授Raheem Beyah认为,工业控制系统中的漏洞已经存在了有至少十年了,这是众所周知的事情。随着这两年来勒索软件的兴起,其他行业对于勒索软件来说也越来越难以攻下了,所以工业控制系统很可能会成为网络攻击者的下一个大目标。
Beyah说到:“某些国家的政府黑客可能早就已经对这种攻击了如指掌了,所以他们很可能会通过这种攻击手段来达到某些政治目的,但是普通的黑客应该对这些系统不感兴趣。我们希望通过此次的攻击演示来引起人们对工控系统安全性的重视,如果我们可以成功地攻击这些工业控制系统,那么其他那些不怀好意的人同样也可以做到。”
