工控\物联网安全事故积累

1 工控安全事故：

从工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施；到2014年2月27日， 中央网络安全和信息化领导小组宣告成立，标志着网络安全已被提升到国家战略层面。2016年11月3日，工信部网站正式发布“工业和信息化部关于印发《工业控制系统信息安全防护指南》（工信软函〔2016〕338号），对工控信息安全做了标准化的技术要求。

(1)    2003 年 12 月 30 日，我国的龙泉、政平、鹅城换流站控制系统病毒传播事件。

(2)    2003 年 8 月14 日美国东北部地区和加拿大联合电网由于网络与XA/21 系统的漏洞，被攻击后致使主服务器崩溃，导致发生大面积停电事故。

(3)    2003 年 美国俄亥俄州 Davis-Besse 的核电厂控制网络内的一台计算机被 SQL Server 蠕虫所感染，导致其安全监控系统停机将近5 小时。

(4)    2008 年，黑客劫持了南美洲某国的电网控制系统，导致电力中断几分钟。

(5)    2008 年美国中央情报局 (CIA) 官员汤姆·唐纳休 (Tom Donahue) 在“SANS”( 系统和网络安全 ) 贸易大会上透露，美国曾发生数起黑客通过互联网攻破当地供电网络导致数个城市出现照明中断的事故。

(6)    2008 年，美国国土安全局演示通过攻击电力控制系统后致使一台发电机物理损坏。

(7)    2010 年 6 月，一个名为 Stuxnet 处于休眠状态的病毒潜伏在伊朗的铀浓缩设施网络中，Stuxnet 在位于纳坦兹的离心机中被激活，控制了30%的纳坦兹设施的计算机，致使伊朗暂时关闭了核设施和核电厂。

(8)    2011 年夏天在美国黑帽大会上黑客展示了可以利用执行内存转储、捕捉密码的 PLC 的后门程序。如对 PLC 进行 24 小时的攻击可导致电厂爆炸，这意味SCADA(Supervisory Control And Data Acquisition) 系统也将成为直接攻击的目标。

(9)    2000年10月 13日 ，四川二滩水电厂控制系统收到异常信号停机，7s出力89万kW,川渝电网几乎瓦解。 二滩水电厂事件发生后，为提高电力生产控制系统的安全防护能力，经大量研究论证，国家非常重视电力系统的信息安全，相继出台了《电力二次系统安全防护规定》(电监会5号令)、《电力二次系统安全防护总体方案》（电监安全［2006］34号）、《电力行业信息系统安全等级保护定级工作指导意见》（电监信息［2007］44号）等规定。

(10)  2016年8月，网络安全界监测到了Operation Ghoul（食尸鬼行动）网络攻击，OperationGhoul针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵。攻击者通过伪装阿联酋国家银行电邮，使用鱼叉式钓鱼邮件，对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

 

2 IOT安全事故：

物联网设备被用于实施DDoS攻击愈演愈烈:近日，网络安全厂商赛门铁克公布了一项针对物联网安全的调研结果，深入分析网络攻击者如何在网络设备拥有者不知情的情况下，利用物联网安全设备的漏洞传播恶意软件或创建僵尸网络。

赛门铁克安全响应团队发现，网络罪犯通过劫持家庭网络和消费互联设备实施分布式拒绝服务 (DDoS) 攻击，目标通常为更加有利可图的大型企业。为了成功实施攻击，网络罪犯通过感染缺乏高级安全性的设备，编织一个大型的消费设备网络，以获得更加经济的带宽。

根据恶意软件攻击的IP地址，超过一半的物联网攻击源于中国和美国。此外，还有大量的攻击来自德国、荷兰、俄罗斯、乌克兰和越南。事实上，在一些情况下，攻击者将IP地址作为代理，用来隐藏自身的真实位置。大部分物联网恶意软件将非PC嵌入式设备作为攻击目标，例如Web服务器、路由器、调制解调器、网络连接存储 (NAS)设备、闭路电视 (CCTV)系统和工业控制系统等。许多设备可以通过互联网访问，但由于操作系统和处理能力的局限性，这些设备可能不具有任何高级的安全特性。

现在，网络攻击者已经十分了解物联网存在的安全缺陷，很多网络攻击者开始利用常用的默认密码预先编写恶意软件，以便更加轻松地对物联网设备发起攻击。由于许多物联网设备的安全性较低，这使他们更容易成为攻击目标，而受害者往往意识不到他们已经遭受感染。

除此之外，本次调研还发现以下结果：

2015年是物联网遭遇攻击的创纪录年，有关家庭自动化和家庭安全设备遭遇劫持的怀疑事件层出不穷。到目前为止，根据各类攻击报告显示，大部分攻击者对受害者本身不太感兴趣，反而是意图将受到劫持的设备添加到僵尸网络中，以用于实施DDoS攻击。

物联网设备专为‘即插即用’而设计，在基础设置后，十分容易被拥有者忽略，这也是导致物联网设备成为主要攻击对象的原因。毫无意外，恶意软件用来尝试登录物联网设备的常用密码是‘root’和‘admin’组合，这也说明，在通常情况下，用户从不更改默认密码。

随着越来越多的嵌入式设备连接至互联网，未来可能会更加频繁地出现多物联网平台同步受到攻击的事件。

2.1  利比亚遭受大型网络攻击

    2016-11-23网易消息近日，利比亚遭到大型网络攻击，全国的网络连接都因此失效。据猜测，这轮针对利比亚的攻击目标是关闭整个区域的网络，而且很可能只是发起另一轮更大型攻击前的排练。

    利比亚发生的这轮攻击实际上一共连续发生了数波，在此期间用户一直无法使用网络服务。在这一阵的攻击中，黑客使用了多种方法进行攻击，因此很多人猜测这是他们在尝试使用不同的方法入侵，从中寻找出破坏性最大的方法。而这次攻击使用的方法与此前美国遭受的攻击有相同之处，都是利用了多种智能外设的漏洞进行的。据行业人士推测，这些智能外设有可能都设置到了同一个僵尸网络中，由某个人统一布局，根据不同目的完成多种任务，比如同时往某个地方发送请求和流量，造成服务器过度拥堵而瘫痪。

    随着物联网设备、智能设备的普及，似乎这已经成为了黑客第一时间寻找攻击下手的地方，包括网络摄像头这样简单的设备都有可能存在不少可入侵的漏洞。在IOT时代，所有设备都接入互联网固然存在很多优势和便利之处，但也意味着对于网络安全的要求也进一步提高。简单一点的方法，如果被僵尸网络操控，这些设备往往就组合成为了庞大的机器人军团，只需要非常简单的弱口令发送，每台设备的指令集合产生的巨大流量就有可能造成电路过载和崩溃瘫痪。

    实际上在此前利比亚已经遭受过类似的攻击，当时利比亚有许多的大型网站都瘫痪了。据相关专家推测，这前后两次的攻击可能存在联系，而且很有可能就是同一波人发起的。这些人看起来十分有经验，而且因为他们使用的方法非常复杂，完全有可能玩坏整个国家的网络。

    这次在利比亚发生的连续间断的攻击有可能会影响到到利比亚和其他西非国家共享的海底电缆，所以接下来这些西非国家的工程师应该有一阵可以忙了。

2.2  北美DDoS事件概述

美国当地时间2016年10月21日，黑客组织NewWorldHackers和Anonymous通过互联网控制了美国大量的网络摄像头和相关的 DVR 录像机，然后操纵这些“肉鸡”攻击了为美国众多公司提供域名解析网络服务的DYN公司，影响到的厂商服务包括：Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom等。该攻击事件一直持续到当地时间13点45分左右。

据分析，黑客们使用了一种被称作“物联网破坏者”的Mirai病毒来进行“肉鸡”搜索。更为致命的是，Mirai病毒的源代码在2016年9月的时候被公开发布，导致大量黑客对这个病毒进行了升级，升级后版本的传染性、危害性比前代更高（Mirai日语的意思是“未来”，研究人员将新变种命名为“Hajime”，日语的意思是“起点”）。Mirai 病毒是一种通过互联网搜索物联网设备的病毒，当它扫描到一台物联网设备（如网络摄像头、DVR设备等）后会尝试使用弱口令进行登陆（Mirai 病毒自带 60个通用密码），如果登陆成功，这台物联网设备就会进入“肉鸡”名单，并被黑客操控攻击其他网络设备。

据悉，此次DDoS攻击事件涉及的IP数量达到千万量级，一共有超过百万台物联网设备参与了此次 DDoS 攻击。

其中，这些设备中有大量的 DVR（数字录像机，一般用来记录监控录像，用户可联网查看）和网络摄像头（通过 Wifi 来联网，用户可以使用 App 进行实时查看的摄像头）。而数据显示，参与本次 DDoS 攻击的设备中，主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用。