伊朗鋼鐵慘遭“黑手” 虎狼環伺 鋼鐵安全如何守護
一、概述
當地時間6月26日,名為“Gonjeshke Darande”的黑客組織在Twitter上發文稱攻擊了伊朗境內三家鋼鐵公司:Khouzestan Steel Company (KSC), Mobarakeh Steel Company (Isfahan) (MSC) 和 Hormozgan Steel Company (HOSCO)。同時發布的還有一段視頻,展示了疑似KSC鋼鐵廠內部設備故障著火的片段。該黑客組織還聲稱對去年10月發生的伊朗加油站網絡攻擊事件負責,該攻擊連續數天導致全國加油站的加油卡系統癱瘓。這導致一些觀察家認為攻擊旨在破壞伊朗政府的穩定,是伊朗和以色列之間以牙還牙的網絡攻擊的一部分。
圖中提到了遭受攻擊的三家鋼鐵公司隸屬于IRGC(伊朗伊斯蘭革命衛隊)和Basji(伊斯蘭武裝力量動員隊)。并表示,這次網絡攻擊是對伊斯蘭共和國侵略的回應,并且經過精心設計,從而會保證無辜人員的安全。
KSC的CEO在采訪時回應“公司的一些系統遭遇到網絡攻擊,由于及時發現并采取了應急防護措施,攻擊并沒有成功,生產線沒有受到任何損害。”對于黑客組織發布視頻中顯示的爆炸,他并未提及。并表示生產線沒有遭到結構性破壞,該次事故也不會影響到整體供應鏈和用戶,該線路已經投入使用,公司網站、信息渠道和短信系統經過短暫中斷后已經得到解決。此前業務中斷并非攻擊導致,而是設施因為“技術問題”導致。
KSC公司的官方公告
Mobarakeh 和 Khouzestan Steel 的網站均已下線,但是他們表示其生產線沒有受到嚴重的損壞,原因是由于電力和維修狀態的限制,生產線在夜間會處于關閉狀態,襲擊發生時生產線處于非活動狀態。
目前網絡攻擊影響了兩個領域:生產和安全系統。
二、攻擊背景
受地緣政治影響,該地區時常發生類似的針對國有工業部門的攻擊事件,本次攻擊顯然是近期對該國戰略工業部門的最大規模攻擊之一。伊朗政府沒有承認襲擊造成的破壞或指責任何特定團體,只是定性為近幾個月來襲擊破壞該國服務的最新例子,加劇了該地區的緊張局勢。“Gonjeshke Darande”黑客組織在發布的推文中稱其攻擊是有原因的:“這些企業受到國際制裁,盡管受到限制,但仍舊繼續運營。”
伊朗國家網絡空間中心關于該國鋼鐵廠遭遇網絡攻擊的公告
Check Point的安全研究人員記錄了他們對該事件的調查結果。他們分析確定該惡意軟件是2021年針對伊朗國家鐵路和政府系統的Meteor數據擦除的變種。
三、攻擊技術及路線
根據被攻擊的三家企業的描述,攻擊發生在周日夜間到周一清晨,雖然具體攻擊手段仍沒有明確的答案,但有MSC員工稱,攻擊者應該是從公司的主服務器入侵到其整體生產系統內部的。
從攻擊者發布的視頻中來看,攻擊目標是生產線的鋼水包,其主要作用是承接鋼水,進行澆注作業。攻擊導致了鋼水包中的鋼水不受控制,不斷累積并外溢,進而影響到周圍的其他重要設備,最終導致事故的發生。要達到該攻擊效果,攻擊者需要獲取DCS系統的操作權限并十分了解整體鋼鐵生產線流程,從攻擊者發布的截圖也可以看到DCS的整體操作控制界面。
從圖中可以看出,攻擊者可以操控整體生產流程的多個環節。圖中橙色罐狀的部分是各種催化劑的類型和使用情況,在其右側的青色部分是溫度、氧含量、碳含量等環境參數,左下方紅色部分標識的就是鋼水包的情況。
根據界面右上角的徽標判斷,該軟件由伊朗系統工程和自動化公司IRISA提供(https://www.irisaco.com/)。該公司的客戶包括 Isfahan Mobarakeh Steel Company、 Hormozgan Steel Company、Khorasan Steel Company、Khouzestan Steel Company, Isfahan Steel Company, Sangan Khorasan Steel Company, Kaveh South Kish Steel Company 等。
一同公布的還有另外一張網絡監控軟件PRTG的屏幕截圖,觀察截圖可獲得如下信息:
1、PRTG圖顯示了組織內的資產概況。
2、當時正在使用的PRTG版本已經過時。
攻擊者針對伊朗鋼鐵廠的攻擊線路圖如下:
伊朗鋼鐵廠網絡攻擊線路分析
根據對伊朗鋼鐵廠的攻擊分析發現,攻擊者通過病毒植入的方式攻擊到信息域的業務服務器,以業務服務器作為跳板,獲取了生產監控系統權限,控制鋼鐵生產流程。
四、攻擊影響
本次攻擊事件是近期有記錄以來,針對伊朗戰略工業部門的最大攻擊之一。KSC稱經過專家的研判,由于該次網絡攻擊所造成的技術性故障,整體生產線甚至可能會無限期停工。伊朗是中東地區最大的鋼鐵生產國家,在全球范圍內也位列前十,本次攻擊對伊朗的出口造成了重創。
五、鋼鐵行業脆弱性分析
鋼鐵行業一般存在如下脆弱性:
● 操作系統漏洞:由于軟件的特殊性,為了保證穩定生產,很多生產電腦使用了過時的操作系統,例如windows XP。
● 工業控制系統漏洞:早期在產品設計和網絡部署時,只考慮了功能性和穩定性,對安全性考慮不足。隨著鋼鐵行業工業控制系統網絡之間的互聯互通以及設備的網聯化,通過互聯網攻擊工業控制系統的可能性越來越高,數量攀升的SCADA、DCS、PLC漏洞成為了鋼鐵行業巨大的隱患。
● 工業網絡漏洞:鋼鐵行業工業控制網絡的設備分布于廠區各處,大多使用無線通訊方式來實現與調度中心的連接和數據交換。針對不安全的通訊傳輸、攻擊者可以其作為攻擊工業控制網絡的入口對整個工業控制網絡發起滲透和控制。
● 對外開放較多的服務:鋼鐵行業會通過工業互聯網對外開放較多的服務,攻擊者可以通過掃描發現并利用開放服務中存在的漏洞和缺陷攻擊到環境中的業務服務器獲取關鍵資料以及作為跳板攻擊到更深的生產網絡。
● 賬號口令安全:各種業務系統的使用都是需要輸入賬戶口令,攻擊者可以通過弱口令掃描、嗅探、釣魚、社工等方式獲取內部用戶的口令,從而獲取關鍵數據和系統/設備的控制權。
● 移動介質攻擊:當不安全的移動介質連接到工程師站或者操作員站時,移動介質中的惡意代碼會自動運行,對控制設備下發惡意指令或更改參數,造成安全事故。
● 工業通訊協議的缺陷:常見的工控協議Modbus、DNP3、OPC等缺乏身份認證、授權以及加密等安全機制、利用中間人攻擊捕獲或篡改數據,向生產設備下達惡意指令或者向監控設備上傳虛假數據,導致生產系統失控。
六、防護建議
● 系統層面
鋼鐵的生產工藝主要包括煉鐵、煉鋼、鑄鋼、熱軋四個步驟。
鋼鐵在生產過程中很早就采用計算機實現生產過程自動化,并逐步建成生產管理、能源管理等不同類型的信息系統。在實現信息系統與控制系統融合時,應按國家工控安全法律法規建設企業工控系統防護體系,完善安全措施,降低安全風險。
實施過程中應建立深度防御體系,實現網絡的橫向分層、縱向隔離、計算機環境防護、網絡邊界隔離、通信網絡、用戶和數據進行全面控制,以“分區分域、整體保護 、積極預防、動態管理”為總體策略,圍繞“縱深防御+白環境”,打造系統安全技術體系。
● 管理層面
? 關鍵系統針對USB設備實施白名單控制,禁止非法USB設備接入。
? 在所有控制器上設置密碼保護。
? 針對關鍵設施的人員實施嚴格的最小權限管理,關鍵系統需要多人員身份認證。
? 定期執行系統補丁更新操作,避免漏洞對系統產生威脅。
? 增強惡意代碼的管理機制,對臨時接入系統的設備實施安全預防措施。
? 制定應急預案,包括但不限于策略與規程、培訓、測試與演練、處理流程、監控措施、事件報告流程、資源以及響應計劃等。
? 強化資產管理,定期安全巡檢、檢查資產運行狀態以及安全評估,及時發現風險。
● 培訓方面
? 通過培訓,培養員工的安全意識。
? 通過演練,提升員工的安全事件處理能力。
● 技術維度
? 企業出口以及網絡邊界部署網絡防火墻,針對關鍵資產,實施對外通訊白名單機制。
? 本地主機安裝正版殺毒軟件,并及時更新病毒庫,周期性進行病毒查殺,關鍵主機部署主機衛士,實施行為、程序、進程、數據的白名單機制。
? 增加安全監測與預警,及時發現針對關鍵系統的異常訪問行為,做到及時有效處理,實現對安全事件的預警、檢測、響應的動態防御體系。
? 通訊和數據傳輸保護:使用高安全級別的網絡通訊協議,針對安全性較差的通訊協議,可以利用安全通道封裝,實現非安全協議的傳輸安全性。
此外,安全措施并不能完全避免攻擊事件的發生,我們建議在攻擊事件發生前建立完備的應急響應預案,定期對系統、數據進行備份。在攻擊事件發生時及時切斷外部攻擊源的連接。在攻擊事件發生后執行應急響應預案內容。快速恢復鋼鐵生產的正常運行,降低損失。
參考文獻
[1] https://iranwire.com/en/technology/105278-hacking-group-predatory-sparrow-takes-down-steel-plants-in-iran
[2] https://www.farsnews.ir/
[3] https://blog.cyble.com/2022/06/29/irans-steel-production-impacted-by-cyberattack
[4] https://english.alarabiya.net/News/middle-east/2022/06/27/Cyberattack-forces-major-Iran-steel-company-in-Khuzestan-to-halt-production
[5] https://wenku.baidu.com/view/e0d8a3a2ef3a87c24028915f804d2b160b4e86ac.html
[6] https://techmonitor.ai/technology/cybersecurity/iran-steel-cyberattack-israel
