工業控制系統（簡稱工控系統）是由計算機設備與工業過程控制部件組成的自動控制系統是工業設施與自動化系統的中樞神經隨著互聯網技術的高速發展工控系統的網絡化浪潮正在澎湃進行中接入因特網意味著工控系統這個花瓶正擺在高臺之上這個高臺既是網絡攻擊的難度也是國家安全的觸碰禁區

前不久的烏克蘭電力系統被黑事件使人們意識到這個花瓶也有碎的那一天一旦電力系統被黑客入侵停電是較低級的危害不排除發生電力過載爆炸等可怕后果讓人萬分驚詫甚至不寒而栗

這個時候國內以知道創宇為代表的安全企業站了出來基于網絡空間安全技術的領先實力尤其是多年在工控系統安全領域的研究積累率先對烏克蘭電力系統被黑事件進行了深入分析以揭開該事件背后的真相同時綜合運用多種手段普查我國工業控制系統現狀避免同樣的事情在我國上演這正是一家負責任的網絡安全企業此時應該做的事情

在此之前在2015KCon黑客大會上曾有人以《工業網絡滲透直擊工控安全的罩門》為題介紹了入侵某工業控制系統的思路僅限于小范圍的思路研討半年以后的今天烏克蘭電力系統被黑事件正在引發全球性的熱議對工業控制系統的攻擊已經從純技術交流轉變為發生在身邊的現實事件

烏克蘭電力被黑事件解析

這次的烏克蘭電力系統被黑事件到底是怎么發生的?目前一些細節已被外媒刊出國內也有媒體作了轉譯報道根據各方分析顯示烏克蘭電力系統感染了一款名為BlackEnergy的惡意軟件該惡意軟件背后直指俄羅斯沙蟲（Sandworm）黑客組織而最新報道稱烏克蘭國家安全局指責俄羅斯就是此次電力攻擊事件的幕后黑手烏方已發現并成功移除了相關惡意軟件知道創宇目前完成了對BlackEnergy軟件演進過程及影響事件的分析具體如下表所示

BlackEnergy演進及影響事件表

筆者從知道創宇安全團隊處獲悉他們已完成對26個相關病毒樣本的研究分析但從代碼特征上看不能排除其它黑客組織利用了BlackEnergy來達到相關目的的可能性該事件背后的真實操控者到底是何方神圣有待更多的證據來證實

知道創宇安全團隊結合網絡上公開報道中提及的技術信息以及自主的病毒樣本分析結果對此次事件的攻擊流程進行了假想性復原

1.攻擊者使用Office沙蟲漏洞（CVE-2014-4114）進行水坑攻擊受害主機執行惡意程序與遠端C&C服務器進行交互一些系統信息會被發送到C&C服務端上

2.沙蟲（宏病毒）進行惡意操作利用工控HMI的遠程執行漏洞（CVE-2014-0751）進行內網攻擊控制內網的HMI（可能涉及GECimplicityAdvantech/BroadwinWebAccessSiemensWinCC等工控的HMI這些HMI已由ZoomEye網絡空間測繪雷達探查確認）

3.攻擊者向HMI植入BlackEnergyBlackEnergy開啟DropbearSSH后門開啟6789端口

4.攻擊者遠程啟動BlackEnergy的KillDisk組件破壞主機磁盤從而造成破壞性影響

攻擊過程可能還用到了諸如reDuhWeevely3DropbearDSEFix等黑客工具

杜絕類似事件在我國上演

目前烏克蘭電力系統被黑事件的相關病毒樣本特征已被知道創宇收錄到旗下云圖威脅分析系統之中通過該系統可以對惡意流量進行檢測實施阻斷形成針對性的防護能力確保類似事件不在我國上演

同時知道創宇利用旗下ZoomEye網絡空間測繪雷達對全球工控設備組件進行偵測分析整理出臺了《暴露在Internet上的工業控制設備》的報告該報告涉及交通能源水利等多個領域從中發現我國有一些重要工業控制系統正處于嚴重的安全威脅之中

全球及我國（含中國臺灣）暴露在Internet上的工業控制設備統計

SiemensS7設備我國暴露分布圖

EtherNet/IP設備我國暴露分布圖

BACnet設備我國暴露分布圖

CrimsonV3設備我國暴露分布圖

（以上為原報告中的部分數據截圖）

可以看出我國大陸地區長春合肥南京等城市以及我國中國臺灣地區的工控系統面臨較大安全風險建議這些地區快速整改加強針對性防護措施

知道創宇已將大量工作成果進行全面分析整理從烏克蘭電網被攻擊事件出發形成了我國工業控制系統安全調研白皮書已第一時間上報我國信息安全主管部門為增強國家關鍵基礎設施的安全和我國互聯網空間的安全積極貢獻自己的力量據悉知道創宇安全團隊仍在進行緊張的工作努力繪制互聯網空間的工業控制系統威脅地圖我們也將持續予以關注