前不久,安全牛报道过利用智能鱼缸入侵赌场的案例,现在连智能咖啡机也成入侵跳板,但目标换到了工控系统中的PLC。
曾经,运营技术(OT)很享受几乎与Web隔绝所带来的安全。工业系统攻击界面真的太小了,很多实际发生过的安全事件(包括震网)里,物理接触都是首要攻击方法。那真是个简单清爽的时代。
但是,所有的一切都随着工业物联网(IIoT)的出现而改变了。制造业和其他行业如今更多地将IoT设备集成到他们的OT环境。然而不幸的是,连接越多,对勒索软件之类IT数字威胁的暴露面就越大。这些劫难未必需要物理接触就能降临。有些威胁只需要借助感染的IoT设备,就能影响到OT系统。
于是,勒索软件通过工厂的智能咖啡机,感染到其可编程逻辑控制器(PLC)监视系统这种事,还真就发生了。
2017年6月,一名地区控制室操作员在Reddit上呼叫昵称“C10H15N1(注:代表物为冰毒的一系列化合物的分子式)”的化学工程师。C10H15N1是在欧洲各地拥有多家石油化工厂的大型企业的PLC专家。
如此,C10H15N1收到了PLC开始捣蛋的警报,而他们隶属负责编程该公司中央控制室所用远程监视软件的团队。
该操作员告诉C10H15N1,接入当地工厂控制系统的计算机显示了一条错误信息。C10H15N1检查了来自该工程的数据。除了监视系统似乎是崩溃了,其他东西看起来都很正常。
C10H15N1决定从该操作员处收集更多信息。他们在提交到Reddit的一篇文章中重现了此项工作:
因为我是监视软件开发团队的一员,我来接手此事;而我的同事们将继续观察情况。我问那位操作员屏幕上显示的信息是什么,他所描述的场景听起来非常像某臭名昭著的勒索软件攻击。这就有问题了,因为运行监视软件的这些计算机都没有接入互联网。
那位化学工程师没在帖子中透露是哪起“臭名昭著的勒索软件攻击”。但他们确实说明了受影响主机是过时的 Windows XP 系统,也就是说,WannaCry或NotPetya都有可能。
很明显,C10H15N1的公司无法自行更新该监视软件。他们必须等待当地政府在工厂停工时核准该软件的新版本。而审核过程约每5年一次,也就是在该公司所有客户都停工进行大修检查的时候。
因为无法更新受感染计算机的软件,C10H15N1指导该操作员重启了主机,并开始重镜像过程。接入其自有内部控制室网络的监视系统还坚挺了一小段时间。但随后,一台接一台地,连接该系统的计算机又开始显示出相同的错误消息。
C10H15N1对此一头雾水。就在这位化学工程师试图搞清情况的时候,操作员出去泡咖啡去了。但他们空手而归,说智能咖啡机上也显示相同的错误消息。
至此,所有的事情都说得通了。这位PLC专家解释道:
长话短说,咖啡机本应接入他们自己独立的WiFi网络,但是,安装咖啡机的人将机器连接到了内部控制室的网络,然后在他不记得互联网接入的时候又将之连入了独立的WiFi网络。操作员告诉我们监视系统罢工了,但忘了提咖啡机也显示相同的错误消息。
幸运的是,该勒索软件从未影响到该工厂的任何一块PLC。但这并不能阻止C10H15N1的公司,给负责管理咖啡机的外部公司写一封措辞严厉的质问信。在解决勒索软件感染问题期间,这家咖啡机提供商的所有客户只能另想办法喝上咖啡了。
工业安全重在可见性
毫无疑问,提供商本可以从一开始就做好其咖啡机的安全。但在供应链安全风险持续增长的世界里,公司企业自身才是保护其工业环境的最终责任人。安全防护工作应包含扫描所有联网资产的内部网络,包括缺乏授权的咖啡机。
相关阅读
