大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

“給我一個支點，我就能撬動地球。”於當前全球發展大環境來看，ICS（工業控制系統）也許就是那個可以撬動整個地球的支點。

至於為什麼說ICS就是“支點”，我們可以看看剛過去的2019年，都發生了哪些事——

2月，日本最大光學產品製造企業Hoya主機伺服器感染挖礦病毒，病毒於內網終端迅速蔓延，大量資料被入侵者竊取、生產線停產三天。

3月，委內瑞拉最大的電力設施古裡水電站突遇網路攻擊，包括首都拉斯維加斯在內的13個州電力癱瘓，醫療、交通等各行各業全盤崩潰，而在7月，委內瑞拉電網再次淪陷，黑暗籠罩範圍擴至全國16州。

6月，全球最大飛機零部件供應商之一阿斯科（ASCO）遭遇勒索軟體投毒，致其IT系統癱瘓、四國工廠被迫停擺。

10月，印度庫丹庫蘭核電站感染了具有朝鮮政府背景駭客組織開發的惡意軟體，伺服器被專門為電站編譯的惡意軟體控制，第二核電站機組被迫關閉。

2019年，是全球ICS網路攻擊大爆發的一年。最新IBM報告也指出，全球針對ICS和其他OT資產的惡意攻擊，在2019年增長超2000%。

各國工控系統頻頻失陷，其危害之巨足以讓世界被按下暫停鍵，想要“撬動地球”很簡單，攻擊ICS就能事半功倍。總的來說，ICS網路安全現狀實在令人憂思。

零日認為，想要減少ICS網路攻擊對全球帶來的動盪，就要徹底瞭解驅動ICS必須升級的各項因素，即ICS遭遇大量網路攻擊的內外原因。

內部因素：使命重大且防禦薄弱

為什麼ICS對網路攻擊者具備如此大的吸引力？

首先從基礎因素分析，ICS本身肩負著重大使命。各國工控系統執行著全球的基礎設施，同時支撐著全球經濟發展。財富榜上全球2000強公司裡有45%需要依靠ICS開展水、礦、電力、醫藥、食品等各項業務，而剩餘的公司則需要其滿足運輸、HVAC系統等基本需求。

ICS無處不在，攻擊ICS就等於破壞了目標的經濟與物理發展。

其次是ICS網路的特殊性。區別於傳統IT系統的安全第一，ICS重視系統穩定性、強調可用性，其安全優先順序是可用性＞完整性＞機密性。此外，ICS網路通常不允許連線網際網路、不能實時更新病毒庫，病毒誤殺也可能在ICS中產生致命後果，更不允許在執行期間進行系統升級（這也就是XP、Win7系統停服為什麼會給政企使用者帶來重大安全隱患的原因之一）。

具備上述特殊性的ICS網路安全現狀究竟如何，答案可想而知。受其追求穩定性和可用性影響，ICS執行環境相對落後，多數以“物理隔離”為核心安全手段。而且工業網路生命週期較長，許多已執行35年以上，系統大多年久失修。

在這種情況下，隨著人工智慧、大資料、雲等新一代技術的蓬勃發展，新技術迫使封閉的ICS網路逐漸開放，軟硬體安全隱患、補丁更新時效差、各類漏洞與日俱增等種種安全問題浮出水面，為網路攻擊和病毒、木馬的傳播創造了有利環境。

ICS猶如懷揣寶藏過街的稚兒，成為攻擊者眼中的“真香”目標。

外部因素：地緣政治成幕後推手

針對ICS的網路攻擊紛至沓來，除了自身特性招攻擊者青睞之外，這不得不提另一項複雜的外部因素，即地緣政治。

我們有充分的證據表明，各國競爭對手正在瞄準能源和其他關鍵基礎設施領域，超越傳統的戰爭界限，ICS成為地緣政治的新戰場。

追溯到2015年12月，烏克蘭遭遇有史以來首次導致停電的網路攻擊，也是工控攻擊具有里程碑意義的重大事件。當時網路間諜情報人員指出，此次攻擊來自

俄羅斯駭客組織。這種在其他戰爭中可被視為越線的行為，卻並沒有在此引發相應的重視。

隨後，全球ICS迎來WanaCry、NotPetya的接連突襲。在NotPetya襲擊過程中，烏克蘭切爾諾貝利核電站的輻射監測系統下線，英國廣告公司、美國製藥公司、法國建築公司、德國物流公司……均受其影響。

總之，這場“有史以來最具破壞性和最昂貴的網路攻擊”導致全球各行各業均有所停滯，而這一次世界不再沉默，美國站出來譴責俄羅斯軍方的攻擊行為，但也僅此而已。

地緣政治驅動下的傳統戰場真刀明槍，各國不敢輕舉妄動。而新戰場卻一片混沌，無人管束、難以制約且具有同等破壞力，針對ICS的網路攻擊一時間成為國家競爭的有利手段。

再說近的，美國與伊朗互相傷害的硝煙還未散去。在美軍擊落伊朗“軍神”蘇萊曼尼後，大家都知道，美國工控系統危矣！伊朗是什麼來頭？伊朗駭客曾成功摧毀沙特、阿聯酋、卡達等各國油氣和石油公司系統，擁有世界頂級網路殺器APT33，近年來專攻工控系統的國家級APT組織。

除美伊博弈外，近在歲末年初之際，就有韓國數百工業企業遭遇APT攻擊，波及全球；紅海地區也爆發了“黑暗危機”，葉門地區2800萬人網際網路失陷。現在看來，震網、停電已經成為常見的政治攻擊手段。

當然，外部因素中也少不了作為攻擊工具的惡意軟體的進化，其複雜性、多樣性也是威脅ICS安全的關鍵因素。

據IBM專家表示，在2019年ICS攻擊中發現的主要惡意軟體是Echobot，是Mirai IoT惡意軟體的變體。儘管問世時間短，但它整合了大量針對ICS企業及產品的漏洞以作攻擊。這種惡意軟體長期執行且不斷髮展變化，也導致ICS安全威脅持續增長。

最後，根據當前發展形勢來看，零日認為物聯網的發展與加入，使ICS被攻擊的載體增加，可能IoT裝置也將成為攻擊ICS的有利跳板，這一點還需大家重視。

零日反思

當前的ICS攻擊，停留在經濟損失、執行停擺等階段，尚未對競爭對手造成重大人身傷害，如汙染供水、干擾作業等危害。但是我們要時刻警惕，在政治競爭和經濟因素的驅動下，ICS攻擊是否能始終保持不突破下限？這個答案很難回答。

可以預見的是，未來ICS威脅仍在加劇，人們對此類攻擊的安全意識正在提高。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：
FreeBuf 《工控安全入門之攻與防》
SecurityWeek 《工業網路，最新的地緣政治戰場》