工控及信息安全
1
Stuxnet 攻击事件
对电厂工控系统安全防护的启示
广东惠州天然气发电有限公司,梁超、黄碧雄、陈阵
摘要:电厂工控系统具有独立的网络,对外物理隔离。因此,对网络攻击疏于防范。Stuxnet(震网)的出现,实现
了通过攻击控制系统,从而破坏工业设施,对电厂工控系统的安全具有强烈的警示、启示作用。本文结合 Stuxnet 攻击
事件,浅谈电厂工控系统安全防护。
关键词:Stuxnet;震网;超级工厂;电厂;工控系统;ICS;DCS;安全防护
1 Stuxnet 及其攻击事件
Stuxnet 是一种计算机蠕虫,
它利用 Windows 操
作系统漏洞和西门子 SIMATIC WinCC 工业控制系统
漏洞,
感染数据采集与监控系统
(SCADA,
向设备 PLC
写入恶意代码,改变设备的正常工况,从而导致设
备的物理损毁。
2009 年到 2010 年间,
Stuxnet 在伊朗的 Natanz
核工厂暴发。
2010 年 11 月,
伊朗暂停了铀浓缩活动。
2010 年 11 月 29 日,
伊朗总统在新闻发布会上承认,
伊朗有“少量”离心机遭到了“安装在电子设备上
的软件”的袭击
[1]。
2011 年 11 月 12 日,伊朗伊斯兰革命卫队进行
弹道导弹(泥石-2 型) 新式弹头测试时发生爆炸,
包括 Tehrani-Moghadam 在内的数个伊朗顶尖导弹专
家丧生。外界估计爆炸原因是控制系统遭 Stuxnet
蠕虫病毒“控制”
。
[2]
2010 年,Stuxnet 在互联网传播。6 月中旬首次
被白俄罗斯安全公司 VirusBlokAda 发现,其名称是
从代码中的关键字得来。
2012 年,
《纽约时报》
报导,
Stuxnet 是由美国国家安全局在以色列协助下研发,
目的在于阻止伊朗发展核武。该研发计划代号为
“Olympic Games”
[3]。
2 Stuxnet 传播与攻击特点
工控系统的在安全方面的两个特点:1)与外界
物理隔离,具有天然屏障;2)设备 PLC、主机 OS 一
旦几乎不作任何加固,防护薄弱。Stuxnet 针对性地
加强了突破物理屏障的传播能力。
1) 强化 USB 设备传播能力。
工控网络与外界并
非绝对隔离,有时也需要接入外来设备(一般是电
脑、U 盘)
,用来维护、调试、更改配置,尤其在建
设期。通过移动电脑、U 盘等传播入网是最有效的方
式。Stuxnet 监控计算机中新增的 USB 设备(包括 U
盘、移动硬盘、手机、相机等所有 USB 接口设备)
。
一旦发现,立即感染。当用户使用受感染 USB 设备
时,就会触发漏洞,Stuxnet 立即执行,感染其计算
机。如此循环,不停感染。
2) 充分利用系统漏洞进行传播与攻击。
受感染
计算机联网状态下,
Stuxnet 通过 Windows 漏洞实现
联网主机之间的传播。这些漏洞包括快捷方式解析
漏洞(MS10-046)
、RPC 远程执行漏洞(MS08-067)
、
打印机后台程序服务漏洞(MS10-061)
、共享文件夹
等。检测到安装了 WinCC/PCS 7 系统的主机,则
利用此工控系统漏洞展开攻击。
3) 精于伪装与反侦测。Stuxnet 伪装 RealTek
与 JMicron 两公司的数字签名,绕过安全检测。
4) 攻击“专业”
。Stuxnet 目的性很强,在传播
打分:
0 星