2015-12-03
近年来,针对工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。匡恩网络会陆续为大家总结工控网络安全事件,以了解工业控制系统所面临的安全威胁,促进国内工控网络安全事业不断发展。也欢迎大家积极互动
今天先分享第一件:
澳大利亚马卢奇污水处理厂非法入侵事件
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
评论29
楼主 2015/12/6 18:25:56
巴西知名SCADA曝严重拒绝服务漏洞
巴西知名SCADA(数据采集与监视控制系统)ElipseSCADA近日曝出一个严重的拒绝服务漏洞,目前其官方Elipse已修复此漏洞。SCADA是以计算机为基础的DCS与电力自动化监控系统。
漏洞描述
在各国许多机构都有SCADA(数据采集与监视控制系统)的踪影,常常包括制造业,能源行业、水资源行业等等。ElipseSCADA的常用于过程自动化系统,主要业务为电力和植物供水。
这个漏洞出现在ElipseSCADA部署的DNP3协议上。漏洞版本号为CVE-2014-5429,它允许攻击者提交包含格式错误的数据报文,消耗系统资源,而造成拒绝服务攻击。
该漏洞的表现形式随着SCADA部署的不同而变化:在ElipseE3中,服务会中断;在Elipse动力系统中,大概会产生30秒左右的停顿;而ElipseSCADA则会直接宕机。该漏洞还可以被远程利用,虽然现在还没有发现真实案例。
影响范围
工业控制网络应急响应中心表示:“黑客如果通过该漏洞攻击系统,工控设备会停止响应,直到被人工重启。”
目前该ElipseSCADA系统已经推出了新版的DNP3驱动,受到此漏洞影响,需要更新驱动的产品有:
ElipseSCADA2.29build141
ElipseE3v1.0到v4.6版本
Elipse动力系统v1.0到v4.6版本
DNP3.0Masterv3.02版本
安全人员同时表示,这是一个通用类型的漏洞,预计其他SCADA和同类工控软件也会有类似问题。
楼主 2015/12/13 22:10:43
美国Browns Ferry核电站受到网络攻击事件
2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。
原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在
以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两设备瘫痪。
楼主 2015/12/13 22:11:04
美国Hatch核电厂自动停机事件
2008年3月,美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。
当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师
重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
楼主 2015/12/21 22:22:12
震网病毒攻击美国Chevron、Stuxnet等四家石油公司
2012年,位于美国加州的Chevron石油公司对外承认,他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此,美国Baker Hughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
虽然美国官员指这种病毒不具有传播用途,只对伊朗核设施有效,但事实证明,震网病毒已确确实实扩散开来。
楼主 2015/12/27 23:14:42
比Suxnet强大20倍的Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通讯网络设施,包括电力、雷达、控制中心等。
我们发现,Flame火焰病毒最早诞生于2010年,迄今为止还在不断发展变化中。该病毒结构非常复杂,综合了多种网络攻击和网络间谍特征。一旦感染了系统,该病毒就会实施一系列操作,如监听网络通讯、截取屏幕信息、记录音频通话、截获键盘信息等等;所有相关数据都可以远程获取。
可以说,Flame病毒的威力大大超过了目前所有已知的网络威胁。
楼主 2016/1/4 18:14:53
美国Hatch核电厂自动停机事件
2008年3月,美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。
当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
楼主 2016/1/11 11:00:33
朝鲜网络全面崩溃 具体原因尚未明确
据路透社报道,美国互联网基础设施监测公司DynResearch称,周一朝鲜互联网全面宕机,具体原因不明。
DynResearch互联网分析主管道格·麦德瑞(DougMadory)表示,“在过去24小时内,朝鲜连接外界互联网的连通性能逐步下降,现在则完全宕机。”
麦德瑞补充说:“关于此次宕机,乐观的原因是他们的路由器出现了软件问题——存在这样的可能。同时也有可能是有人指导,对他们发起了攻击,目前他们很难上线。”
美国总统奥巴马上周五郑重许诺,称将对索尼影业遭到的黑客攻击事件作出回应,并将此次事件归咎于朝鲜。
美国国务院发言人玛丽·哈弗(MarieHarf)在周一举行的例行新闻发布会上表示,她无法证实朝鲜互联网宕机是否跟此前索尼网络遭受攻击有关。?
麦德瑞称,朝鲜的互联网一直很稳定,尽管过去也曾遭受过攻击,包括在2013年与韩国关系紧张期间。麦德瑞表示,现在很多人,包括潜在的青少年黑客,都能发起“分布式拒绝服务”攻击,从而导致朝鲜互联网瘫痪。如果这是引起朝鲜互联网宕机的原因,“这并不需要一些大的国家才能能做到。”
楼主 2016/1/18 22:43:38
2011年,美国伊利诺伊州城市供水系统被入侵,供水泵遭到破坏。
2012年,两座美国电厂遭USB病毒攻击,整个工厂的系统被感染,大量机密数据泄漏。
楼主 2016/1/26 11:24:59
2013年发生在美国连锁超市Target身上的客户信息泄露事件就说明了这一点,黑客组织通过Target超市的智能联网系统,从空调端口侵入信息系统,盗窃了超市客户4000万张借记卡和信用卡信息。在一家制药厂,利用控制系统中的安全漏洞篡改任意一个工艺参数,都有可能导致正在生产的药品作废,更严重的是,目前这种漏洞并不是每次都能被发现。
楼主 2016/2/1 10:20:21
2011年,某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断。
在江苏某地级市,该市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
某大型石化公司,控制网内已经部署了大量某外国品牌的工业防火墙,以为可以从此高枕无忧。但实际情况却是控制网内大量工程师站、操作员站感染了大量病毒,导致控制软件运行缓慢,正常操作无法进行。
2014年,某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件带入在控制网扩散。