黑客攻擊能產(chǎn)生多大的破壞效果？

委內(nèi)瑞拉的國民可以現(xiàn)身說法。兩個月前，委內(nèi)瑞拉全國發(fā)生大規(guī)模停電事件，影響 23 個州中的 18 個州，傳言這事是美國發(fā)動了黑客攻擊，雖然美國沒認，但是人家的國務(wù)卿跟自家總統(tǒng)一個做派，大喇喇地發(fā)了條推文印證了這個說法：“No food. No medicine. Now， no power. Next， no Maduro.（沒吃沒藥沒電，下一步，沒總統(tǒng)。）”

委內(nèi)瑞拉別哭，前面烏克蘭的兄弟也被“襲擊”過兩次，傳聞是俄羅斯干的。

還有很多奇奇怪怪的大規(guī)模工業(yè)襲擊都是黑客干的，比如澳大利亞馬盧奇污水處理廠曾被非法入侵，無線連接信號丟失、污水泵工作異常、報警器也沒有報警。

這個事情有多嚴重？

前工程師 Vitek Boden 因不滿工作續(xù)約被拒而蓄意報復(fù)，通過一臺手提電腦和一個無線發(fā)射器控制150個污水泵站長達三個多月，在此期間，共計有 100 萬公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當?shù)丨h(huán)境受到嚴重破壞。

2016年，又有黑客利用美國賓夕法尼亞州哈里斯堡市一家自來水廠員工的個人電腦入侵了該廠負責(zé)水過濾的電腦系統(tǒng)，并在水過濾電腦上安裝間諜軟件，利用受感染主機向外發(fā)送電子郵件和盜版軟件，與此同時，黑客還修改了該電腦的登錄密碼，致使水廠管理員也不能夠進入操作系統(tǒng)。

不是水，就是電，還有工廠什么的，都是關(guān)鍵的工業(yè)基礎(chǔ)設(shè)施，這比破解個攝像頭密碼，分分鐘來場不可描述的直播更可怕（當然，這也很可怕）。

黑客們到底用了什么厲害的武器搞這些攻擊？我們來盤點一下：

1、Stuxnet：工控網(wǎng)絡(luò)攻擊的里程碑

Stuxnet（又稱作超級工廠、震網(wǎng)，雙子），是 Windows 平臺上的惡意代碼，于 2010 年 6 月被白俄羅斯的一家安全公司（VirusBlokAda）發(fā)現(xiàn)。因為惡意代碼中包含“stux”字符，所以被命名為“震網(wǎng)病毒（Stuxnet）”。Stuxnet利用西門子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），向可編程邏輯控制器（PLC）寫入代碼并將代碼隱藏。因其代碼及其復(fù)雜攻擊手法極其隱蔽，也被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，同時它也是全球首個在工控領(lǐng)域投入實戰(zhàn)并取得勝利的網(wǎng)絡(luò)武器。

該病毒 60% 的感染發(fā)生在伊朗。2012 年 6 月 1 日，美國《紐約時報》的一篇報道也證實了這一研究結(jié)果。報道內(nèi)容大致如下：Stuxnet病毒起源于 2006 年前后，由美國總統(tǒng)小布什啟動的“奧運會計劃”，是美國國家安全局外交事務(wù)局（FAD）在以色列協(xié)助下研發(fā)，旨在減緩伊朗的核計劃，從而避免采取高風(fēng)險的空襲。2008年，奧巴馬上任后下令加速該計劃。

據(jù)估計，“震網(wǎng)”病毒使伊朗的核計劃延遲了至少2年。事后發(fā)現(xiàn)，在 2011 年以色列國防軍第19任總參謀長加比？阿什克納齊的退役晚宴中的一段視頻顯示，Stuxnet 被以色列國防軍當作一次勝利。

2013 年 5 月，Edward Snowden 在接受采訪中透露：美國國家安全局（NSA）和以色列聯(lián)手開發(fā)了破壞伊朗鈾濃縮設(shè)備的 Stuxnet。在2009年至2010年，Stuxnet滲入伊朗核設(shè)施網(wǎng)絡(luò)，用于改變數(shù)千臺離心機發(fā)動機的運轉(zhuǎn)速度。這種突然的改變發(fā)動機轉(zhuǎn)速會對離心機造成無法修復(fù)的傷害，從而達到破壞伊朗核研究的目的。

2013 年 6 月，美國司法部因 Stuxnet 泄密事件開始調(diào)查美國戰(zhàn)略司令部前負責(zé)人詹姆斯卡特賴特（James Cartwright）將軍。聯(lián)邦調(diào)查人員懷疑卡特賴特向“紐約時報”記者泄露了該行動的細節(jié)，詹姆斯卡特賴特當即否認這一指控，但是，在 2016 年 10 月 17 日，卡特賴特在美國哥倫比亞特區(qū)地方法院認罪。2017 年 1 月 17 日，巴拉克？奧巴馬（Barack Obama）總統(tǒng)赦免了他，從而使他無罪。

根據(jù)紐約時報關(guān)于 Stuxnet 的報道，結(jié)合在任時間窗口和個人背景，其推測 ，Stuxnet 的實際的執(zhí)行者有可能是前 CIA 將軍邁克爾？海登（Michael Hayden）。直到今天也沒有人正式承認或否認這次對伊朗的網(wǎng)絡(luò)打擊這是誰干的，因為即便是現(xiàn)在 Stuxnet 仍然具有攻擊性，甚至有可能已經(jīng)升級成為隱蔽性更好，破壞力更強大的更高級的病毒。

2、Duqu-Stuxnet 之子

Duqu（毒區(qū)）在 2011 年 9 月 1 日，于布達佩斯技術(shù)經(jīng)濟大學(xué)的密碼學(xué)與系統(tǒng)安全（CrySyS）實驗室中被發(fā)現(xiàn)。由于它創(chuàng)建的臨時文件都是以 ~DQ開頭，因此被命名為 Duqu。Duqu 與 Stuxnet 有一定的相似度，它們都使用了相同的加密算法和密鑰，此外，Duqu 也盜用了一家中國***公司（驊訊電子公司）的數(shù)字證書對惡意代碼進行簽名。

Duqu2.0 是在 2015 年卡巴斯基的一次安全檢測中被發(fā)現(xiàn)的?？ò退够?jīng)過調(diào)查后發(fā)現(xiàn)，該惡意代碼已經(jīng)在其內(nèi)部網(wǎng)絡(luò)潛伏長達數(shù)月，進一步研究發(fā)現(xiàn)，入侵卡巴斯基和入侵伊朗核問題“六方會談”承辦酒店電腦的都是 Duqu2.0 。

Duqu 主要目的是刺探與伊朗核計劃有關(guān)的情報。Duqu2.0 被一些安全機構(gòu)認定是以色列“8200部隊”的產(chǎn)物，被用來監(jiān)視伊朗核談判和經(jīng)濟制裁，因為它感染位于瑞士和奧地利酒店的計算機，這些酒店就是伊核六方會談（“P5+1”組織成員國包括美國、俄羅斯、中國、英國、法國和德國）的國際談判地點。

Duqu 2.0除了入侵卡巴斯基和“六方會談”，還針對奧斯維辛-比克瑙集中營解放 70 周年的紀念活動發(fā)動了類似攻擊，它的攻擊目標組織還包括歐洲電信運營商，北非電信運營商和東南亞電子設(shè)備制造商等。

Duqu的攻擊目的不是以破壞為主，而是潛伏并收集被攻擊者的各種情報信息，為將來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)提供準確的情報。

3、Flame

Flame（也被稱作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基披露，由卡巴斯基在國際電信聯(lián)盟（ITU）的一次調(diào)查中發(fā)現(xiàn)。Flame是一種模塊化的、可擴展的、可更新的，具有廣泛隱蔽性和極強攻擊性的惡意代碼。在收到控制者發(fā)出的控制指令后，F(xiàn)lame就能夠通過USB移動存儲介質(zhì)以及網(wǎng)絡(luò)進行復(fù)制和傳播，而發(fā)出控制指令的服務(wù)器來自世界各地。它會運用包括鍵盤、屏幕、麥克風(fēng)、移動存儲設(shè)備、網(wǎng)絡(luò)、WIFI、藍牙、USB和系統(tǒng)進程在內(nèi)的所有的可能條件去收集信息。Flame還會將用戶瀏覽的網(wǎng)頁、通訊通話（Skype聊天記錄）、賬號密碼以至鍵盤輸入等記錄發(fā)送給遠程操控病毒的服務(wù)器。此外，即便與服務(wù)器的聯(lián)系被切斷，攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制。功能極其豐富，覆蓋了用戶使用電腦的所有輸入輸出的接口。目前被定性為“工控病毒”。

Flame 病毒開始主要集中攻擊中東地區(qū)，包括伊朗、以色列、巴勒斯坦、敘利亞、蘇丹、黎巴嫩、沙特阿拉伯和埃及等國家。據(jù)統(tǒng)計，世界范圍內(nèi)受感染電腦數(shù)量大約在 1000 至 5000 臺之間。

2012年6月19日，華盛頓郵報發(fā)表了一篇文章，聲稱 Flame 至少在5年前，由美國國家安全局、中央情報局和以色列軍方聯(lián)合開發(fā)，該項目據(jù)說是代號為奧運會的一部分，旨在緩伊朗發(fā)展核武器的進度，為進行網(wǎng)絡(luò)破壞活動收集情報。

攻擊伊朗的 Flame 病毒對 AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外關(guān)注，它還對桌面上的內(nèi)容特別感興趣，似乎在有目的的收集被感染電腦中的技術(shù)文檔和圖紙類情報。

4、Havex

Havex于 2013 年被發(fā)現(xiàn)，是一種用于攻擊特定目標的遠程控制木馬（Remote Access Trojan，RAT）。2014年初，Havex開始對工業(yè)控制系統(tǒng)發(fā)起攻擊，感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件。網(wǎng)絡(luò)安全公司CrowdStrike披露了一項被稱為“Energetic Bear”（該黑客組織也被稱作蜻蜓“Dragonfly”，因此Havex也被稱作Dragonfly1.0）的網(wǎng)絡(luò)間諜活動。據(jù) CrowdStrike 稱：攻擊者試圖通過俄羅斯聯(lián)邦滲透歐洲、美國和亞洲的能源公司計算機網(wǎng)絡(luò)，在此次攻擊中所用的惡意軟件就是Havex RAT。

攻擊者通過把 ICS/SCADA 制造商的網(wǎng)站上用來供用戶下載的相關(guān)軟件感染木馬，當用戶下載這些軟件并安裝時，實現(xiàn)對目標用戶的感染。

Havex 可能是以竊取工控數(shù)據(jù)情報為目的，因為它利用 OPC 協(xié)議監(jiān)視受感染主機的數(shù)據(jù)通信。而OPC協(xié)議主要是流程工業(yè)上用的比較多，例如石油石化行業(yè)，這也是為什么說Havex是針對工控行業(yè)的原因。

5、Dragonfly2.0

“Dragonfly”是著名的俄羅斯黑客組織，該黑客組織自 2010 年開始活躍，直到 2014 年被安全公司披露后，一度停止了攻擊活動，但是在 2017 年 9 月，它又開始頻繁活動，因為最新發(fā)現(xiàn)的“Dragonfly”從攻擊目的和惡意代碼技術(shù)上都有所提升，所以被稱為“蜻蜓二代”或者“Dragonfly2.0”。目前的證據(jù)表明，實際上蜻蜓二代在 2015 年 12 月份就已經(jīng)有了活動跡象。蜻蜓二代“Dragonfly2.0”和一代一樣，使用多種攻擊方式（惡意電子郵件、水坑攻擊和合法軟件捆綁）對目標進行滲透并植入惡意代碼。早期的Dragonfly活動更像是處于探索性的階段，攻擊者只是試圖進入目標組織的網(wǎng)絡(luò)，Dragonfly 2.0的活動則顯示了攻擊者已經(jīng)進入了一個新的階段，最近的襲擊活動可能為攻擊者提供了訪問操作系統(tǒng)的機會，將來可能被用于更具破壞性的攻擊。

“Dragonfly”是一個專門以能源電力機構(gòu)、ICS設(shè)備制造廠商、石油管道運營商等為攻擊目標的黑客組織，早期攻擊的目標為美國和加拿大的防務(wù)和航空公司、美國和歐洲的能源公司、大多數(shù)受害者分布在美國、西班牙、法國、意大利、德國、土耳其和波蘭，而“Dragonfly2.0”則重點攻擊美國和土耳其。

6、BlackEnergy

BlackEnergy 是著名的黑客 Cr4sh 創(chuàng)造的。在 2007 年，他聲稱不再開發(fā)這款木馬，并且以$ 700 左右賣出源代碼（流通在俄羅斯的地下網(wǎng)絡(luò)）。最初，它被設(shè)計為一個 DDos 攻擊工具，主要用于建立僵尸網(wǎng)絡(luò)，對定向的目標實施 DDos 攻擊，源碼賣出后，新的開發(fā)者為其開發(fā)了各種功能的插件，以滿足各種攻擊需求。BlackEnergy 被不同黑客用于各自的用途，有的黑客用它發(fā)送垃圾郵件，有的黑客用來盜取銀行憑證，但是，在 2008 年“俄格沖突”期間，該工具被用來對格魯吉亞實施網(wǎng)絡(luò)攻擊，自此 BlackEnergy開始轉(zhuǎn)向攻擊政治目標。在 2014 年夏季， BlackEnergy 頻繁對烏克蘭政府及企事業(yè)單位發(fā)起攻擊，通過分析發(fā)現(xiàn)它有一款支持對 ICS 監(jiān)測控制和數(shù)據(jù)采集類的插件。這顯示出 BlackEnergy 還存在的一些特別的能力，不僅僅局限于 DDOS 攻擊。

其攻擊目標為烏克蘭的ICS，能源，政府和媒體以及全球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亞遭烏克蘭斷電，近 200 萬人受影響。2015 年 12 月 23 日，烏克蘭電力網(wǎng)絡(luò)受到黑客攻擊，導(dǎo)致伊萬諾-弗蘭科夫斯克州 22.5 萬民眾失去電力供應(yīng)長達 6 小時。

7、Industroyer

2017 年 6 月 12 日，一款針對電力變電站系統(tǒng)進行惡意攻擊的工控網(wǎng)絡(luò)攻擊武器 Industroyer 被ESET披露。通過分析，我們發(fā)現(xiàn)該攻擊武器可以直接控制斷路器，可導(dǎo)致變電站斷電。 Industroyer 惡意軟件目前支持四種工控協(xié)議：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（簡稱OPC DA）。這些協(xié)議廣泛應(yīng)用在電力調(diào)度、發(fā)電控制系統(tǒng)以及需要對電力進行控制行業(yè)，例如軌道交通、石油石化等重要基礎(chǔ)設(shè)施行業(yè)，尤其是 OPC 協(xié)議作為工控系統(tǒng)互通的通用接口更廣泛應(yīng)用在各工控行業(yè)?？梢钥闯?，攻擊者對于工控系統(tǒng)尤其是電力系統(tǒng)相關(guān)的工控協(xié)議有著深厚的知識背景，并且具有目標工控環(huán)境下的各種工控設(shè)備，攻擊者需要這些設(shè)備來實現(xiàn)惡意代碼的編寫和測試工作。

與 2015 年襲擊烏克蘭電網(wǎng)最終導(dǎo)致2015年12月23日斷電的攻擊者使用的工具集（BlackEnergy、KillDisk、以及其他攻擊模塊）相比，這款惡意軟件的功能意義重大，它可以直接控制開關(guān)和斷路器，Industroyer 身后的黑客團隊無論從技術(shù)角度還是從對目標工控系統(tǒng)的研究深度都遠遠超過了2015年12月烏克蘭電網(wǎng)攻擊背后的黑客團隊。

通過對該批惡意軟件的編譯時間推測該惡意軟件曾被利用來攻擊烏克蘭的變電站導(dǎo)致2016年12月那次半個小時的烏克蘭停電事件。目前可以說 Industroyer 惡意軟件是繼 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款對針對工業(yè)控制系統(tǒng)進行攻擊的工控武器。

其攻擊目標為烏克蘭的ICS，能源，政府和媒體以及全球的 ICS/SCAD A公司和能源公司。

據(jù)推測，2016 年 12 月那次半個小時的烏克蘭停電事件是由 Industroyer 攻擊導(dǎo)致。

8、GreyEnergy

2018 年 10 月 18 日，ESET 研究團隊稱發(fā)現(xiàn)一個新的 APT 組織 GreyEnergy，且該 APT 組織是 BlackEnergy 的繼承者，因 BlackEnergy 在 2015 年引發(fā)烏克蘭大停電而名聲大噪，此后便銷聲匿跡，而GreyEnergy的活動記錄也同時出現(xiàn)，另外，2015年同期還出現(xiàn)了另一個組織TeleBots（可能是2017年策劃大規(guī)模NotPetya病毒的爆發(fā)的幕后黑手）。除了兩者幾乎同時出現(xiàn)之外， GreyEnergy在2016年使用的一種破壞性惡意軟件Moonraker Petya。顧名思義，它與NotPetya類似，雖然不太先進，但是這表明GreyEnergy和TeleBots之間的合作，或者至少是思想和代碼的交流。

ESET研究團隊認為BlackEnergy演變?yōu)閮蓚€獨立的組織：TeleBots 和 GreyEnergy。

GreyEnergy 主要針對烏克蘭和波蘭的能源部門、交通部門等高價值目標，攻擊行為主要是網(wǎng)絡(luò)偵查（即間諜行為）。GreyEnergy 與 BlackEnergy 具有很多相似之處，它也是采用模塊化結(jié)構(gòu)，目前已經(jīng)發(fā)現(xiàn)的模塊有：注入模塊、獲取系統(tǒng)信息模塊、文件管理模塊、屏幕截圖模塊、鍵盤記錄模塊、密碼和憑證竊取模塊、代理模塊、ssh隧道模塊等，但是至今仍未發(fā)現(xiàn)專門針對 ICS 的惡意軟件模塊。

據(jù)目前所獲情報，此次攻擊主要對烏克蘭和波蘭的能源部門及交通部門進行滲透攻擊，以期獲取相關(guān)數(shù)據(jù)和情報。

可能導(dǎo)致烏克蘭和波蘭的能源相關(guān)重要部門的信息泄露，內(nèi)部敏感信息、相關(guān)技術(shù)資料內(nèi)部網(wǎng)絡(luò)架構(gòu)等重要信息被竊取。

9、VPNFilter

VPNFilter 惡意代碼是由思科 Talos 團隊首次公開，因其危害極其嚴重，Talos并未完成全部分析。VPNFilter惡意代碼旨在入侵物聯(lián)網(wǎng)設(shè)備（路由器、網(wǎng)絡(luò)存儲設(shè)備等）從事可能由國家發(fā)起的全球性的高級惡意軟件攻擊。截止 2018 年 5 月 23 日，至少有 54 個國家遭入侵，已感染約 50 萬臺路由器。由于其核心模塊文件為 VPNFilter，故該惡意代碼也被命名為“VPNFilter”。FBI稱此次攻擊與俄羅斯政府支持的黑客組織Fancy Bear有關(guān)。Fancy Bear又稱作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以來，F(xiàn)ancy Bear一直在進行網(wǎng)絡(luò)間諜活動，入侵過北約、奧巴馬白宮、法國電視臺、世界反興奮劑機構(gòu)和無數(shù)非政府組織以及歐洲、中亞和高加索地區(qū)的軍事和民間機構(gòu)，是一個臭名昭著的黑客組織。

在 2018 年 5 月 8 日出現(xiàn)大規(guī)模的以烏克蘭為主要目標的攻擊活動，并且在 5 月 17 日烏克蘭的受感染設(shè)備出現(xiàn)大幅度增加，這些受感染設(shè)備均受控于C&C 46.151.209.33， 看起來此次攻擊目標似乎瞄準烏克蘭。

烏克蘭電力系統(tǒng)曾經(jīng)受到過兩次黑客攻擊，并且導(dǎo)致了停電事故。

10、Triton

2017 年 11 月中旬，Dragos Inc.團隊發(fā)現(xiàn)了針對 ICS 量身定做的惡意軟件，并將此惡意軟件命名為TRISIS（又被稱為 Triton 和 HatMan），同年 12 月， FireEye 發(fā)布了 Triton 的分析報告。Triton 是首款針對安全儀表系統(tǒng)進行攻擊的惡意軟件，Triton 惡意軟件旨在針對施耐德電氣的工業(yè)環(huán)境中使用的 Triconex安全儀表系統(tǒng)（SIS）控制器，共采用 5 種不同開發(fā)語言構(gòu)建，僅能在其瞄準的工業(yè)設(shè)備上執(zhí)行。TRIRON惡意代碼可對 SIS 系統(tǒng)邏輯進行重編輯，使 SIS 系統(tǒng)產(chǎn)生意外動作，對正常生產(chǎn)活動造成影響；能使SIS系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險時無法及時實行和啟動安全保護機制，從而對生產(chǎn)活動造成影響；還可以對DCS系統(tǒng)實施攻擊，并通過SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用，對工業(yè)設(shè)備、生產(chǎn)活動以及人員健康造成破壞。

2018 年 5 月 4 日，Dragos 公司稱 Triton 背后的黑客組織 Xenotime 已經(jīng)擴大了攻擊范圍，除了攻擊施耐德電氣的 Triconex 以外還針對其它的系統(tǒng)。

Xenotime 黑客組織可能自 2014 年開始活躍，于 2017 年成功攻擊中東一家石油天然氣工廠，致其工廠停運。工業(yè)網(wǎng)絡(luò)安全和威脅情報公司 CyberX 的研究人員曾認為，Triton的幕后黑手是伊朗，但Dragos并未提供任何有能夠證明此猜測的證據(jù)信息。Dragos 公司指出，尚未發(fā)現(xiàn) Xenotime 與其它已知黑客組織存在關(guān)聯(lián)的線索。

2018 年 10 月 23 日，F(xiàn)ireEye 稱他們發(fā)現(xiàn)了 Triton 惡意軟件與位于莫斯科的俄羅斯政府研究機構(gòu)中央化學(xué)與機械科學(xué)研究所（CNIIHM）之間的聯(lián)系：樣本中語言西里爾文和時區(qū)與俄羅斯相關(guān)；通過分析測試文件PDB路徑的字符串，發(fā)現(xiàn)一段特殊字符串可能是俄羅斯信息安全社區(qū)活躍用戶（從2011年開始活躍）的昵稱，結(jié)合被廢棄的社交媒體資料，推測出這個人是CNIIHM的教授，該教授位于莫斯科 Nagatino-Sadovniki 區(qū)的 Nagatinskaya 街附近；該研究所注冊的一個IP地址（87.245.143.140）參與了Triton攻擊。此外，值得一提的是CNIIHM具備開發(fā)Triton惡意軟件的能力，它擁有專門研究關(guān)鍵基礎(chǔ)設(shè)施保護和武器及軍事裝備開發(fā)的研究部門，并與廣泛的其他組織合作，包括計算機科學(xué)，電氣工程，國防系統(tǒng)和信息技術(shù)。

它的攻擊至少針對一個中東地區(qū)的組織。其他使用施耐德電氣的Triconex安全儀表系統(tǒng)（SIS）控制器的能源單位也面臨被攻擊的風(fēng)險，據(jù)不完全統(tǒng)計，該型號的控制器被全球 1.8 萬家工廠使用，其中包含核相關(guān)設(shè)施。

2017年其成功攻擊中東一家石油天然氣工廠，導(dǎo)致這家工廠停止運營。