最近刚刚出现的Stuxnet恶意软件是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。
Stuxnet攻击运用的高级知识之所以“巧妙”,原因有二。首先,该恶意软件通过利用先前未知的 Windows漏洞实施攻击和传播。其次,该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序,对于恶意软件而言,这点很不寻常。
这两点已被媒体广泛报道。我希望重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒介协同“作战”的复杂性,以及这对能源领域意味着什么。
以下是我们目前了解到的Stuxnet攻击的运行机制:
1.用户将USB驱动器(或任何移动存储介质)连接到系统;
2.已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件;
3.该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA系统数据库。(万幸的是,该恶意软件的一个签名证书已被吊销,另一个也即将被吊销)
4.该恶意软件使用WinCC西门子系统中的硬编码密码来访问存储在WinCC 软件SQL数据库中的控制系统运行数据。
这一事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC监控与数据采集 (SCADA) 系统。该软件可作为公用事业机构工业控制系统的HMI(人机交互界面)。HMI以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。
HMI不间断的监控发电厂控制系统的正常运行和整体运行状态。许多情况下,设置HMI的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图,类似于计算机网络的拓扑图。恶意软件可能将部分重要基础设施的“地图”提交给其他恶意实体。