一、 澳大利亚马卢污水处理厂非法入侵事件
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
这位前员工通过一台手提电脑和一个无线发射器控制了150个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
二、 美国Davis-Besse核电站受到Slammer 蠕虫攻击事件
2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQL Slammer蠕虫病毒攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。
经调查发现,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个无防护的T1链接,病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQL Server 2000中1434端口的缓冲区溢出漏洞进行攻击,并驻留在内存中,不断散播自身,使得网络拥堵,造成SQL Server无法正常工作或宕机。实际上,微软在半年前就发布了针对SQL Server 2000这个漏洞的补丁程序,但该核电站并没有及时进行更新,结果被Slammer病毒乘虚而入。
三、 美国Browns Ferry核电站受到网络攻击事件
2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。
原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两设备瘫痪。
四、 美国Hatch核电厂自动停机事件
2008年3月,美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。
当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
五、震网(Stuxnet)病毒席卷全球
2010年10月,一款名为Worm.Win32.Stuxnet的蠕虫病毒席卷全球工业界,在短时间内威胁到了众多企业的正常运行。Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”, 截至目前, 该病毒已经感染了全球超过45000个网络,伊朗、印尼、美国等多地均不能幸免。其中,以伊朗遭到的攻击最为严重,该病毒已经造成伊朗布什尔核电站推迟发电。
六、 Duqu病毒(Stuxnet变种)出现
2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是,Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。前不久,已有企业宣称他们的设施中已经发现有Duqu代码。目前,Duqu僵尸网络已经完成了它的信息侦测任务,正在悄然等待中……。没人知晓下一次攻击何时爆发。
七、 比Suxnet强大20倍的Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通讯网络设施,包括电力、雷达、控制中心等。
研究发现,Flame火焰病毒最早诞生于2010年,迄今为止还在不断发展变化中。该病毒结构非常复杂,综合了多种网络攻击和网络间谍特征。一旦感染了系统,该病毒就会实施一系列操作,如监听网络通讯、截取屏幕信息、记录音频通话、截获键盘信息等等;所有相关数据都可以远程获取。
可以说,Flame病毒的威力大大超过了目前所有已知的网络威胁。
与曾经攻击伊朗核项目计算机系统的Stuxnet病毒相比,Flame病毒的攻击机制更为复杂。Flame病毒通过对被感染机器的用户活动加以跟踪并盗取相关信息。此外,该病毒还会在被感染机器上开启后门,以方便攻击者对已安装到被感染机器当中的工具包加以修订,同时为该工具包增加新功能。
八、德国钢铁厂遭受APT攻击
2014年12月,德国联邦信息安全办公室公布消息称:德国一家钢铁厂遭受高级持续性威胁(APT)网络攻击,并造成重大物理伤害。攻击导致工控系统的控制组件和整个生产线被迫停止运转,由于是非正常关闭炼钢炉,这次事件给钢铁厂造成了巨大的损失。
九、波兰航空公司操作系统遭遇黑客攻击
2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击,导致长达5个小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名旅客滞留。这是全球首次发生的航空公司操作系统被黑事件。
十、乌克兰电力系统被恶意软件攻击导致大规模停电
2015年12月23日,乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击,导致大规模停电,伊万诺-弗兰科夫斯克地区超过一半的家庭(约140万人)遭遇停电困扰;整个停电事件持续数小时之久。在发电站遭受攻击的同一时间,乌克兰境内的其他多家能源企业如煤炭、石油公司也遭到了针对性的网络攻击。
这些安全事件给我们带来工业控制系统网络安全的新警示:
· 控制系统网络是可以被攻击的;
· 物理隔离并不能完全防范工控安全事件的发生;
· 发现病毒时,杀毒也为时已晚,系统已遭到破坏,能阻止病毒、蠕虫等非法入侵,才是解决方法;
· 工控网络需全生命周期的安全防护。
