他同时援引相关报道中的部分内容,即伊万诺-弗兰科夫斯克地区曾在停电期间遭遇到一次蜂窝电话网络拒绝服务攻击。这样的攻击活动能够阻止电力运营商以远程方式控制受感染系统并以协作方式实施应急工作。
“乌克兰在过去就曾经面临着电网可靠性问题的困扰,因此这很可能意味着其一直高度依赖于远程接入机制,”Weiss表示,并指出这种远程接入手段除了通过互联网实现之外、可能还会通过蜂窝网络进行。
4、乌克兰是否正是攻击活动的既定目标?
另外同样尚不清楚的是,攻击者们是否直接将矛头指向了乌克兰电力供应商。“这到底是一次有针对性的攻击活动,还是仅仅属于以某种方式涉及部分系统的广泛感染 行为?如果是后种情况,其是如何实现的?”Honan提出疑问。“这些受感染系统是否接入了互联网?如果是,为什么?世界范围内是否还有其它运行着类似基 础设施的电力设施应当从此次事件当中吸取教训?”
如果BlackEnergy恶意软件——或者其它同样将木马载入至受感染系统的恶意软件类型——被用于破坏能源生产系统,那么相信未来还将有更多类似的攻击 活动指向其它能源企业。“就目前而言,BlackEnergy主要专注于对往来信息进行破坏,而非直接针对基础设施本身,”Weiss指出。他同时警告 称,这类恶意软件“指向的是西门子与通用电气系统,”这意味着其很可能会被用于破坏电力供应商之外的其它潜在受害目标。
5、为什么工业领域仍然缺少理想的取证手段?
在对此类停机状况的调查工作当中,最为复杂的因素之一在于众多控制系统仍然缺少任何形式的日志记录或者数字化取证审查功能,Weiss提醒道。“控制系统当 中存在着大量已知安全漏洞,而且也已经出现了与之相关的大量控制系统事故——包括攻击与意外事故。与此同时,我们对控制系统的取证能力仍然非常有限,特别 是在Windows/IP层面之下,”他表示。“因此……如果电力中断,我们甚至无法确定自己是否受到了黑客攻击。”
6、此次黑客攻击是否属于军事测试?
尽管乌克兰停电事故看起来属于一次滋扰级别的攻击活动——根据报道,没有人员伤亡亦没有爆炸等严重的后续状况——但SANS协会研究所所长Alan Paller表示,此次破坏行为很可能属于军事应用范畴。“网络武器很可能会被埋藏在目标电力供应企业当中,并在必要时发挥与导弹相等同的作用——对方甚 至根本意识不到自身已经受到了攻击,”他在1月5号的SANS通报当中强调称。“一旦电力与通信体系被破坏,国家调动防御及组织反击力量的能力也将无法继 续。”
7、政府机关是否会就此做出改进?
但 这些风险并不是什么新鲜事,Weiss表示,并会被定期报告给美国国会、美国能源部以及国土安全部等机构。“很明显,能源部与国土安全部并没能成功针对电 网体系实现网络安全水平改进,因为我们的电网以及其它关键性基础设施仍然存在着严重安全漏洞,而且截至目前已经出现了超过250起实际发生的控制系统网络 事故,”Weiss解释道。“这些系统中的漏洞是否可为BlackEnergy所利用?答案是肯定的。”
8、ICS供应商是否会改进自己的安全性水平?
如果政府机关发挥不了应有的作用,Weiss表示ICS供应商与用户往往也无法判断出与网络相关的事故并对自身产品中的缺陷进行清理。举例来说,在本周于汉 堡召开的Chaos通信大会上,就有多位研究人员发布了一套最新SCADAPass版本,其中披露了100套不同ICS及SCADA产品当中的硬编码与已 知密码内容——具体涵盖交换机、控制器、可扩展逻辑控制器、Web服务器、无线管理站等等——而相关设备制造商则包括B&B电子、艾默生、罗克韦 尔自动化、三星、施耐德电气以及西门子等。
与此同时,国土安全部上个月亦警告称,有多款来自施耐德电气的PLC产品中存在着零日漏洞,攻击者可以利用其以远程方式夺取设备的控制权。这些设备目前被应用于多种不同环境类型,包括电力设施、核反应堆以及净水与废水处理车间等等。
9、如何推进变革?
由于政府机关目前在帮助实现ICS安全方面一直无所作为,Weiss表示我们只能寄希望于来自其它方面的辅助,例如评级机构。
“穆迪、标准普尔以及各保险公司已经开始意识到关键性基础设施网络将面临严峻安全风险,”Weiss表示。
不过他同时补充称,国土安全部方面所做的工作实在太过有限,并提到了最近刚刚被披露的2013年纽约州雷伊大坝遭受入侵的事件——据称尽管没能获得系统的充分控制权,伊朗黑客仍然顺利侵入了该大坝的闸门装置。
“国土安全部在事故发生后的一年多当中并没有公布这项信息,”Weiss指出。“系统已遭破坏,但政府方面却对此讳莫如深。”
