導讀：搞破壞是最恐怖的事。在IT界，搞破壞無非就是刪除文件或偷走數據庫。但從安全角度看，當你能對有形資產造成衝擊並帶來損害的時候，事情就可怕了……

大多數關鍵基礎設施，如石油精煉廠
、能源公共事業等

，都很難獲得他們的專有信息。將原油精煉成汽油需要的是科學，而不是秘製醬汁。電力行業也是如此。

那麼問題來了，為什麼高級黑客要采用與攻陷IT行業相同的高級持續性威脅(APT)風格的數據滲透技術來對付關鍵基礎設施呢?這是因為它們同為情報收集。

“他們不竊取財務數據，也不拿走’收購和並購案’消息。他們隻取走與工業控製係統(ICS)基礎設施內部運作相關的信息。”——德萬·喬杜裏，尖端 網絡安全產品公司MalCrawler主要負責人，資深工控係統和數據采集與監控係統(SCADA)安全顧問。“他們想要定義煉油廠運行方式的可編程邏輯 控製器(PLC)模板，想要電力輸送.asr(行為腳本遠程文件)方案。”

德萬·喬杜裏

這(zhe)些(xie)攻(gong)擊(ji)的(de)最(zui)終(zhong)目(mu)的(de)
，尤(you)其(qi)是(shi)在(zai)喬(qiao)杜(du)裏(li)耗(hao)費(fei)時(shi)間(jian)最(zui)多(duo)的(de)中(zhong)東(dong)地(di)帶(dai)，通(tong)常(chang)是(shi)搞(gao)破(po)壞(huai)。收(shou)集(ji)這(zhe)些(xie)情(qing)報(bao)可(ke)以(yi)幫(bang)助(zhu)黑(hei)客(ke)們(men)將(jiang)惡(e)意(yi)軟(ruan)件(jian)和(he)攻(gong)擊(ji)方(fang)式(shi)當(dang)做(zuo)武(wu)器(qi)，破(po)壞(huai)煉(lian)油(you)進(jin)程(cheng)或(huo)電(dian)力(li)輸(shu)送(song)，影(ying)響(xiang)世(shi)界(jie)經(jing)濟(ji)。

“搞破壞是最恐怖的事。在IT界，搞破壞無非就是刪除文件或偷走數據庫。但從安全角度看
，當你能對有形資產造成衝擊並帶來損害的時候，事情就可怕了。”

喬(qiao)杜(du)裏(li)提(ti)到(dao)了(le)一(yi)個(ge)從(cong)工(gong)控(kong)係(xi)統(tong)偷(tou)取(qu)的(de)信(xin)息(xi)引(yin)發(fa)能(neng)源(yuan)基(ji)礎(chu)設(she)施(shi)遭(zao)受(shou)攻(gong)擊(ji)的(de)案(an)例(li)。這(zhe)個(ge)案(an)例(li)裏(li)，中(zhong)東(dong)一(yi)家(jia)天(tian)然(ran)氣(qi)供(gong)應(ying)商(shang)的(de)管(guan)道(dao)正(zheng)在(zai)經(jing)受(shou)壓(ya)力(li)問(wen)題(ti)，但(dan)SCADA主zhu控kong係xi統tong看kan起qi來lai毫hao無wu異yi樣yang
，還hai在zai報bao告gao一yi切qie正zheng常chang。不bu過guo，實shi地di檢jian查zha的de時shi候hou發fa現xian有you間jian控kong製zhi室shi被bei闖chuang入ru過guo，後hou續xu對dui工gong控kong係xi統tong設she備bei的de調tiao查zha中zhong又you發fa現xian該gai設she備bei注zhu冊ce表biao中zhong被bei新xin建jian了le一yi項xiang服fu務wu，持chi續xu 向SCADA主控製器發送虛假信息的同時操控某遠程終端進行錯誤動作。

“想要真正打擊到像電網這樣的設施，你需要獲取到其內部運作相關的信息。”喬杜裏說
，“ASR是怎樣設置的?煉油廠中品質控製是何時介入的?這些就是你要操縱並化為武器所需的數據。”

換句話說，這已經不是黑客前輩們玩的APT了。

說shuo到dao電dian網wang
，攻gong擊ji者zhe可ke以yi關guan停ting整zheng個ge電dian網wang的de老lao一yi套tao說shuo法fa其qi實shi是shi個ge謬miu誤wu，好hao萊lai塢wu大da片pian式shi的de誤wu導dao，因yin為wei電dian網wang或huo通tong信xin網wang等deng重zhong要yao基ji礎chu設she施shi網wang絡luo
，均jun內nei建jian了le冗rong餘yu機ji製zhi。相xiang反fan
，這zhe是shi一yi個ge很hen有you效xiao的de營ying銷xiao和he宣xuan傳chuan工gong具ju，政zheng客ke們men想xiang為wei新xin規gui範fan或huo其qi他ta議yi程cheng製zhi造zao緊jin迫po感gan的de時shi候hou就jiu拿na來lai用yong上shang一yi把ba。

“電網設計上有自我保護功能，能夠抵禦颶風
、龍卷風。而且這種設計思路自電網出現那天起就一直延續下來。並且
，即使電網的某部分故障了，也不會影響到其他部分。”但是，也曾出現過對工業造成重大破壞的攻擊事件。其中最著名的就是利用沙蒙病毒(Shamoon wiper)攻擊沙特阿美石油公司導致3萬台windows工作站被棄用的事件。去年11月，工業控製係統網絡應急響應小組發布了一份公告，警告工控係統 的運營者已出現被惡意軟件“黑色力量(BlackEnergy)”利用的漏洞，即沙蟲APT零日漏洞。另外，安全牛去年底報道過一起針對德國鋼鐵廠IT安全關鍵基礎設施的網絡攻擊
，造成重大物理傷害。

卡巴斯基實驗室的研究員們當時針對“黑色力量”發布過一份報告，稱發現有部分插件被用於偷竊密碼、數字憑證等信息。其中更為棘手的一個插件名為“dstr”，是攻擊者懷疑自己被發現時用隨機數據重寫硬盤破壞痕跡的命令行工具。

喬杜裏說自己希望看到在工控安全界也出現類似幾年前軟件開發圈裏興起的在開發生命周期伊始便致力做好安全防護的布道努力。

“在 IT界，加強安全意識的努力已經初見成效;很多應用層的東西相比5年前已經很難對係統造成破壞了。”但工控界仍毫無所覺，真正的挑戰也許在於文化意識上 的，因為工控界
，是由工程師們而不是由IT極客們把持。“網絡社區應該將工程師們也納入進來，讓他們看到殘酷的現實。”

在一些圈子裏，依然存留有事後處置比事前預防更經濟的想法。不過，喬杜裏說，在電力設施行業，舉個例子，北美電力可靠性協會(NERC)製定的規範 就不僅包括了安全檢查表，還迫使廠商在電容器組或電壓網絡調節閥上加裝如互聯網 協議安全性(IPSec)或遠程認證撥號用戶服務(RADIUS)之類的安全控製措施。

“這可是大事件
，”喬杜裏說。