威瑞森安全解决方案本月发布的IT安全事件报告中,赫然记录着一起自来水厂遭网络攻击的事件。公司名称采用了化名Kemuri的水厂,地点也未透露。
发起攻击的是与叙利亚有关联的激进黑客组织,他们利用Kemuri水厂互联网客户支付门户的网页漏洞拿到了公司计算机的控制权。
攻击方法涉及SQL注入和网络钓鱼,获取到了Kemuri水厂陈旧的基于AS/400商用服务器的作业控制系统——因为AS/400的登录凭证就存放在前端Web服务器上。该作业控制系统并未与互联网隔离,下辖一系列可编程逻辑控制器,管理着控制净水系统中水和化学物流动的各个阀门和管道。威瑞森的一组计算机取证专家随后总结说,很多关键IT和作业技术功能都被放在了单一的AS/400系统之上。
终端取证分析师们发现,本次水厂被黑事件充分体现了近期出现的未授权交叉攻击模式。利用支付App网页服务器上发现的相同凭证,威胁执行人得以切入同样运行在AS400系统上的水厂阀门和流量控制程序。60天的观察周期里,分别有4起独立的连接被发现。
每次接入,威胁执行人都会修改控制程序的设置,修改参数反映出他们明显没有流量控制系统工作机制的基本常识。至少两次修改事件中,他们操纵系统改变了进入到自来水中的化学物含量,阻碍了净水过程,影响了供水能力,造成恢复正常自来水供应的时间的延长。
幸运的是,由于警报功能的存在,Kemuri水厂得以很快发现异常,修正化学物和水流变化,很大程度上减小了对客户的影响。目前为止,尚未发现任何关于攻击的明显动机。
有证据表明,虽然没有什么特别的效果,控制化学物流量的阀门确实被黑客操控了两次。似乎这些黑客要么缺乏数据采集与监控系统(SCADA)的知识,要么无意造成重大伤害。
本次黑客行动还造成了该水厂250万客户个人信息的泄露。目前尚无证据表明这些信息已被用于敲诈或诈骗。
尽管如此,整起事件依然彰显出关键基础设施系统防护上的弱点——要么依赖老旧系统,要么系统设置不安全。
有网络研究和安全布道专家评论道:“有目标的和随意的攻击者,都将继续利用很容易得手的过时系统或者没打补丁的系统。基础设施系统由于资源不足或者以为没联网而被盯上的事太常见了。”
除了明显的入侵检测、预防、补丁管理和分析驱动安全措施上的投入,可行性威胁情报也应被重视起来。
像威瑞森这样的报告就是威胁洞察力的重要来源。公司企业必须用好此类信息,勠力提高安全门槛,更好地检测、预防和响应高级攻击。只有通力合作,才能最大限度地跑在攻击者前面。
黑客攻击净水厂的事件虽然少见,但也不是前所未有的。例如,2011年11月网上就出现了几幅电脑截图,显示的是德州南休斯顿供水和污水处理部门监控设备的用户界面,有黑客宣称已经拿下了这些系统。此事发生的前几天,美国国土安全部曾对另一起水厂黑客行动声明置之不理。
时间再拉近一些,德国某政府机构也透露,一家德国钢厂遭到黑客攻击,一座高炉被毁,损失惨重。黑客是通过鱼叉式钓鱼邮件攻击诱骗到受害者才得以进入产生系统的。
去年12月乌克兰电网遭“黑暗能量”恶意软件攻击事件,似乎也掺杂了鱼叉式钓鱼的身影。该恶意软件盗取用户凭证,作为后续复杂攻击中的一环,造成电力中断,让20多万人在寒冷的圣诞夜前夕短时无电可用。
相关阅读
