德国钢厂受网络攻击 造成重大损失

来源：信息安全知识

    德国联邦信息安全办公室(BSI)上周发布了一份2014年的信息安全报告，这份长达44页的报告中披露了一起针对IT安全关键基础设施的网络攻击，并造成重大物理伤害。

    受攻击方是德国的一个钢铁厂，遭受到高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段，获得钢厂办公网络的访问权。然后利用这个网 络，设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转，由于不是正常的关闭炼钢炉，从而给钢厂带来了重大破坏。

    Gartner德国公司的分析人员表示，目前还不清楚破坏的具体情况，是否属于永久性的损害。似乎炼钢炉的物理损害只是无意中的连带损失，真正的目的可能是阴谋破坏竞争对手。但当前没有足够的证据，只能做出经验性的推断。

    另 一位安全研究人员表示，攻击者可能通过人机交互界面或其他控制系统，直接连接到工厂造成的破坏。但目前并不清楚钓鱼攻击使用的具体手段，比如特定的恶意软件。如果是针对工业控制系统的恶意软件的话，那就是第四起公开的案例。前三起专门针对工控系统的恶意软件攻击案例，分别是震网(Stuxnet)、 Havex和黑色能量(BlackEnergy)。

    报告声称，基于攻击者所采取的行为，该组织不仅具备传统的信息安全高级技术，还对工业系统和生产过程非常熟悉。

    要达到这样的一种破坏，不只是对Windows系统的深入了解。在控制了计算机之后，以后的事情更加复杂高端。通常，工控系统的计算机并不运行 Winows，而是一些特定的实时操作系统，如QNX、OSE或是VxWorks等，针对这些系统写代码并不容易。但这还不是最难的部分，最复杂的部分在于知道如何控制这些工业设备。对于炼钢炉来说，需要专业的知识来控制它。而这些知识是无法从普通的书本中看到的。

    “针对工控系统的攻击和防护，需要具备复合型知识。不仅需要网络安全技术能力，还需要了解特定工控系统的系统组件及生产过程。”--匡恩网络首席执行官孙一桉。

    德国联邦信息安全办公室的报告还声称，几家德国企业已经成为被叫做“能源熊”或“蜻蜓”网络间谍活动的目标。该间谍行动专门针对工控系统，尤其是能源领域的工控系统，其使用的恶意软件就是Havex。

    今年10月，工控应急响应小组(ICS-CERT)发布警告，称一个针对工控系统的间谍活动正在进行。该活动至少从2011年就已经开始，使用了恶意软件黑色能量的变种。