改变工控安全认知的病毒——震网病毒

网上时常流传着一句话：“世界上最高级的战争莫过于直到被攻击，都不知道敌人的火力从何而来。”这句话在伊朗身上得到了印证。

2010年中旬，白俄罗斯赛门铁克安全公司指派几名安全人员去检查伊朗客户的故障电脑，在检查过程中，安全人员无意间发现了一个非常不同寻常的电脑病毒，随后他们将病毒的一些信息上传到了安全社区，立刻引起了网络安全界的轰动，这款病毒就是后来我们所熟知的“震网病毒”。

“震网病毒”是人类历史上第一个实现物理精准打击的计算机病毒，由美国、以色列等国家联合设计。震网事件发生之前，大多数人会认为工控网络与传统信息网络处在一个物理隔离的状态，网络病毒不会对工控系统产生影响，而震网事件让人们意识到即使是物理隔离的专用局域网，也并非牢不可破;专用的工业控制系统，也可能会受到攻击。

什么是“震网病毒”

“震网病毒”跟普通病毒本质上的区别是它运用了4个“ZERO DAY”漏洞，即“零日漏洞”。“零日漏洞”指没有被开发商或安全公司所发现的系统漏洞，它相当于一把万能钥匙，能够突破防御，对系统进行控制。此前，“零日漏洞”的发现数量每年大约在10个左右，而单“震网病毒”就使用了4个，这已经不是普通的黑客或者黑客组织所能制造出的病毒。

在传播方面，“震网病毒”并不依赖于互联网，而是通过U盘来感染内部网络，在感染一台电脑后，它不会立刻发动攻击，而是先隐藏在系统的最底层，扫描被攻击电脑是否安装了西门子的Step7或WinCC这两款工业控制软件，工厂中的技术人员一般都是通过控制软件编写业务指令来控制PLC。

此外，“震网病毒”的攻击还针对一种当时只在伊朗生产的变频器，变频器是用来控制离心机转速的设备，在核设施中起到至关重要的作用。而离心机是提炼铀235的关键设备，一般的浓缩铀工厂会通过部署大量的离心机来提炼铀235，低纯度的铀235可用来发电或者医疗，高纯度的铀235可用来制造核武器。通过这些发现，安全专家推断出：“震网病毒”是专门用来打击伊朗核工业的网络病毒。

“震网病毒”如何实现物理攻击

“震网病毒”的研发者偷偷的将病毒注入到伊朗四家离心机供应商的员工电脑里，以U盘为媒介，通过Windows系统的自动播放功能最终传播到伊朗浓缩铀工厂的计算机系统中。

第一步：病毒会利用盗用的电子签名躲过病毒软件的防护并潜伏下来，然后开始记录离心机集群的运行数据。

第二步：当搜集到足够多的数据之后，影响工厂里的SCADA监控系统，使监控系统上的数值一直保持在正常的范围之内。

第三步：通过截取控制软件发送给PLC的指令，找出应用在离心机上的软件，向离心机发出虚假指令，使一部分离心机超负荷运转，一部分处在极度的低速。由于监控系统中的数值一直显示正常，而且病毒每天攻击的时间只有一小时，这让当时的核电站工作人员很难发现其中的异常。

导致后果：之后的一段时间里，伊朗浓缩铀工厂的离心机经常大规模损坏，使得铀的出产速度一直跟不上核工业的发展进程。而且，离心机中的一些关键零件属于国际严格管控的物品，购买起来十分困难，最终导致伊朗整个国家的核计划遭到沉重打击。

如今随着“工业4.0”和“互联网+”时代的到来，工控网络开始向着分布式、智能化的方向发展，越来越多基于TCP/IP的通信协议被采用，工业控制系统的“孤岛”被打破。工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击增加了新的攻击途径，震网事件之后越来越多的恶意攻击事件发生，使得很多人开始意识到工控安全的重要性。

· 2015年，乌克兰电力遭受BlackEnergy恶意软件的攻击;

· 2017年，勒索病毒全球泛滥;

· 2018年，台积电WannaCry变种病毒感染事件;

· 2020年，本田及达飞集团等公司遭受勒索软件攻;

……

工业控制系统的安全威胁在逐步加大

为了应对工控安全事件的频发，我国先后出台了许多政策和规范，从2011年工信部的451号《关于加强工业控制系统信息安全管理的通知》，到2017年工信部122号《工业控制系统信息安全事件应急管理工作指南》，再到2017年6月1日正式实施的《网络安全法》和2019年的《信息安全技术网络安全等级保护基本要求》，表明我国政府已经将工控系统的安全问题上升到了国家战略的高度。

来源：立思辰工控安全   作者 七安