这个实验用铁一般的事实证明,要摧毁发电厂中的关键设备,并不需要和它发生物理接触,远程注入一段精心设计的恶意代码即可……
第九章 工控系统失控
爱达荷州爱达荷瀑布50英里之外,有一片广阔的大草原。这里是美国能源部爱达荷国家实验室。厚厚的水泥板上,放着一个巴士大小的巨型发电机。一群工程人员一边绕着它走,一边冻得瑟瑟发抖。这是2007年3月4日,这些人正在为即将进行的地面爆炸实验做最后的安检。
1英里之外是实验室的展厅,来自华盛顿特区的官员、发电行业和北美电力安全委员会的高管们齐聚一堂,一边用盛满热咖啡的杯子暖手,一边等着观看爆炸试验的“现场直播”。
2010年,当赛门铁克的研究员发现震网是用来破坏西门子公司PLC的时候,他们认为这是第一个有证可循的数字代码对设备造成物理破坏的实例。但事实上,早在3年前,在爱达荷平原上演的“极光发电机实验”(Aurora Generator Test)已经展示出这类攻击的可行性。
上午11:30,位于爱达荷瀑布的工人收到“向目标注入恶意代码”的信号。展厅扬声器中传出了这台5000马力柴油发电机的轰鸣声,参观者们紧张的注视着屏幕,试图看到恶意代码引起的反应。一开始,什么事都没有发生。之后,他们听到了一声脆响,像是用一条沉重的铁链敲击金属制成的大鼓。随后,这只钢铁巨兽不断发出咯吱咯吱的声音,似乎被惊醒了。几秒钟后,又是一声脆响,这一次它倾斜、颤动得更加厉害,仿佛它的心脏遭到了除颤器的电击。橡胶制成的垫圈一块接一块的从发电机里面弹出来,飞向摄像头,让参观者无不胆颤心惊。15秒后,响声第三次出现,发电机愈加倾斜。震动平息之后,发电机冒出了一缕白烟。突然间,咚!发电机再次受到冲击。接下来是漫长的等待。正当人们以为这只巨兽得到了喘息、攻击即将收场之时,发电机的内膛中燃气了浓烈的黑烟。
这时候离实验开始只有3分钟。对于恶意代码来说,3分钟已经足够让这个巨型发电机燃起黑烟,并冒出刺鼻的金属气味。实验结束后,展厅内无人鼓掌,只有沉默。要撼动这样一个像坦克一样大的东西,得需要多大的外力啊。但在这个实验中,完成任务的居然是区区21行代码。
这次实验经过了为期数周的精密计划和科学建模,在实施前就达到了确保万无一失的水准。即便如此,对于亲身参与实验准备的工人而言,攻击所具备的威力和破坏力依然令人震撼。“难以置信的亮瞎时刻”,实验设计者之一迈克尔•阿桑特(Michael Assante)兴奋的说。之前,他们曾做过一次模拟实验,模拟的攻击目标是放在桌上的一个小型马达。当他们看到一个27吨重的机器像个玩具一样被摇来晃去、碎片四处飞散时,那感觉就像是亲历侏罗纪公园般刺激。
这个实验用铁一般的事实证明,要摧毁发电厂中的关键设备,并不需要和它发生物理接触,远程注入一段精心设计的恶意代码即可。因此,3年后,当震网在伊朗被发现时,这些曾在极光项目中工作的人们一点都不觉得惊讶。唯一让他们觉得惊讶的是,这场“针对工业控制系统的史上首次攻击”让他们等了这么久。
当赛门铁克公司的研究员在2010年8月发现,震网的真实意图是对西门子PLC进行物理破坏之后,还是有许多人搞不清楚PLC到底是什么东西。尽管PLC作为控制组件,控制着世界上很多最重要的关键基础设施和业务流程,却只有极少数人听说过这种设备。
PLC被用于各种各样的自动控制系统,包括知名度略高的“工业控制系统”(SCADA,Supervisory Control and Data Acquisition,监视控制与数据获取系统)、分布式控制系统以及那些能够让发电厂的发电机、涡轮机、锅炉等大型设备正常运转的控制系统。使用PLC的系统,还控制着把未经处理的污水送往水净化厂、防止水库溢出的大型水泵,控制着防止天然气管道生成导致致命破裂或爆炸高压的阀门开关。一旦这类系统出现问题,后果就是致命的。比如,2010年加利福尼亚州圣布鲁诺市的一场天然气管道爆炸,造成了8人死亡、38间房屋被毁。
除此之外,自动控制系统还有一些不那么显眼、但同样关键的用途。它们控制着汽车生产流水线上的工业机器人,在化工厂、制药厂中担负着“按恰当比例分配并混合各种配料”的任务。食品饮料厂商用它们设置并监控温度,确保加工和消毒过程的安全,杀灭有害细菌。它们还可以用于保持熔炉或窑炉中温度的稳定,确保炼出来的玻璃、玻璃纤维和钢铁质量优良,可以建造摩天大楼、汽车和飞机。它们控制着每一盏交通信号灯的亮和灭,控制着联邦监狱中每一间牢房门的开与关,控制着高速公路和江河水道上每一座桥的升与降。它们帮助客运列车和货运列车保持正确的行驶方向而不脱轨。在较小的尺度上,自动控制系统控制着高层建筑的电梯、控制着医院、学校和办公楼的供暖设备和中央空调。简言之,自动控制系统是确保全世界所有工业活动正常开展、基础设施正常运作的关键组件。它们应具备很高的可靠性和安全性。但震网的出现,让人们的希望化为泡影。
如今,每个人都可以拿到震网的代码,并对它展开研究甚至进行复制。潜在攻击者可以以震网为模板,制作其他恶意代码,再用这些恶意代码去攻击美国及其他国家脆弱的控制系统。比如,去操纵天然气管道的阀门、将污水排进自来水管道、乃至破坏核电站的发电机组。有了震网这个完美的模板,要发动类似攻击,已经无须一个富裕的国库作后盾了。震网制作者已经完成了与“如何利用自动控制系统漏洞”的关键研发工作,这些工作的成果客观上降低了其他攻击者发动类似行动的门槛,越来越多的国家行为体和非国家行为体成为这场游戏的新晋玩家。不论是像“匿名者”或LulzSec这样的无政府主义黑客团体,还是为恐怖组织服务、以控制某个发电厂为要挟的勒索者,震网的出现,让这些之前根本不敢想象去攻击自动控制系统的各种攻击者们,一下子摸到了成为“高大上”黑客的门道。当然,虽然震网是一种通过非接触途径就能对目标造成外科手术式打击的病毒,这并不代表其他所有以自动控制系统为目标的黑客攻击都是这样目标明确、技艺精湛,而且会造成大范围的破坏和次生影响。
此外,攻击者要发动攻击,不一定非得编写震网那么复杂的代码。一个普通病毒或蠕虫就可以达到目的。以下试举两例。佛罗里达州的CSX公司是一家为23个州提供客货运列车铁路服务的公司。2003年,由于CSX的计算机遭到Sobig病毒感染,美国东海岸的列车信号灯系统瞬间宕机,导致宾夕法尼亚州和南加州之间的铁路、哥伦比亚特区的高速环线停运。同年,Slammer蠕虫的感染,造成俄亥俄州Davis-Besse核电站的安全监视系统和流程控制网络暂停运转5小时。
2013年,NSA(美国国家安全局)对美国关键基础设施抵抗大规模破坏性网络攻击的能力进行了一次检测。局长基思•亚历山大对参议院某委员会提交的结果是:3分(1分最低,10分最高),部分原因是自动控制系统安全性不足。
“国防部发展进攻性网络能力已经超过10年了,”战略与国际研究中心的吉姆•刘易斯说,“不过,我觉得…人们并没有充分意识到其中的问题所在。正是这些新的脆弱性,将我们生活中的各方各面都暴露在风险之中。”
事实上,关于自动控制系统的问题早已存在,相关领域专家多年前就已经对此了如指掌。但正是震网的出现,才第一次把这些问题摆在了公众的面前。(待续)
译者:李云凡
