黑客攻擊、木馬植入——工業網際網路頭懸四把利劍

工業互聯，方興未艾。

各路設備，加速入網。

以信息網絡技術加速創新與滲透融合為突出特徵的新工業革命，正不斷加速全球經濟數字化轉型步伐。

世界主要國家競相把深化製造業與網際網路融合、發展工業網際網路作為製造業轉型升級的重要途徑，中國也不例外。

早在2016年2月，我國就成立了工業網際網路產業聯盟，力推工業網際網路產學研用協同發展。

據不完全統計，國內有百餘家廠商致力於工業網際網路平台的技術和生態發展，既包括航天雲網、東土科技等信息技術領域的領先者，也包括海爾、徐工等傳統製造商孕育的新行家。

不過，在看到工業網際網路巨大作用的同時，行業自身也越來越關心工業設備互聯後的安全問題。

8月3日，台積電(台灣積體電路製造股份有限公司)突遭病毒攻擊一事再次震動工業網際網路業界。

數小時內，這家全世界最大的半導體代工廠的多個晶片製造廠受到波及，多條生產線被迫停產，這也是半導體製造業罕見的安全事故。

這樣的安全事件並非第一次，當然更不會是最後一次。

從早些年伊朗的「震網事件」到去年肆虐全球的勒索病毒，再到這次台積電遭病毒攻擊，一次次看似不同的安全事件，其實隱含著相同的規律，偶然中潛伏著必然，這不能不引起人們對萬物互聯時代安全的擔憂、警惕和應對。

前言

世界又多了個「賽博空間」

與上個世紀相比，今天的世界有了很大變化：世界之上疊加了一個賽博空間。

什麼是賽博空間？

賽博空間(Cyberspace)是哲學和計算機領域中的一個抽象概念，指在計算機及計算機網絡里的虛擬現實。

賽博空間一詞是控制論(cybernetics)和空間(space)兩個詞的組合，是由居住在加拿大的科幻小說作家威廉·吉布森在1982年發表於《omni》雜誌的短篇小說《全息玫瑰碎片(Burning Chrome)》中首創造，並在後來的小說《神經漫遊者》中被普及。

高度重視賽博空間的美國國防部，早在2009年就組織出版了《賽博力量和國家安全》一書，書中這樣定義賽博空間：

賽博空間是一個可操作的領域，由電磁頻譜、電子系統及網絡化基礎設施三部分組成，人類通過電子技術和電磁頻譜進入該領域，進行信息的創建、存儲、修改、交換和利用。

該定義強調賽博空間包含三個基本部分：

1.電磁頻譜主要指遠程控制與信息承載能力；

2.電子系統主要指計算機所形成的計算能力；

3.網絡設施主要指基於網絡的互聯互通能力。

國內出版的《三體智能革命》一書則是這樣定義賽博空間：20世紀的賽博空間是一個抽象的科技概念，指在計算機以及計算機網絡里的數字化虛擬現實。

一直以來，很多人認為用一個「數字空間」就可做計算、存儲和無線傳輸，這是不可能實現的。

數字空間僅僅是一個二進位數理系統，所有的「1、0」的具體實現，都必須有能量、有載體。

目前最方便的能量場是電(做計算)、磁(做存儲)和電磁波(無線傳輸)，一切不談能量場或電磁波的「數字空間」都是虛幻的假說。

正是這個賽博空間，讓電磁場以比特數據流的載體形式存在。

無形無態的比特數據流可由人來構建和管控，彼此間以數字化信息的方式互聯，可以通達並控制與其連接的物理設備，其作用範圍伴隨著電磁波的運動可以無限延伸，例如人類利用電磁波對人造系統(旅行者1號)的作用已經達到170億公里。

在賽博空間中，諸多事物的特點是：

1.每一個物理設備都在賽博空間中有了名稱、位置、功能等基本數據，甚至建立了與物理設備完全虛實映射的「數字孿生體」；

2.不僅物理設備與數字孿生體之間是彼此互聯互通的，而且數字孿生體之間也是互聯互通的；

3.工業物聯網和工業網際網路(統稱「工聯網」)的迅猛發展，既讓越來越多的物理設備成為終端入口，也讓這些物理設備成為被侵害的犧牲品。

總而言之，賽博空間，無處不在。

原本互不相連的事物經由賽博空間中的數據通道(簡稱「賽博通道」)聯到了一起。

因此，正常善意的賽博通道建立了，異常惡意的賽博通道也建立了。

天使與魔鬼同在。

實際上，在賽博空間經常發生的4種惡意行為，如同懸在工聯網頭上的4把達摩克利斯之劍，隨時都可能落下。

這四把劍是黑客攻擊之「暗劍」、木馬植入之「毒劍」、軟體後門之「陰劍」、為錢賣鑰之「鬼劍」，都是經由賽博通道發生。

不管你是否看得到，只要你行走在賽博空間，只要你使用任何一種可以聯網的終端產品建立起賽博通道，4把利劍就高懸在那裡，是否砍到你的頭上，那就要看你的技術與防禦能力，還有你的運氣。

工業網際網路頭懸四把利劍

黑客攻擊之「暗劍」

2015年12月23日15：30，烏克蘭西部伊萬諾-弗蘭科夫斯克電力控制中心。

運維人員猛然發現，計算機螢幕上的光標被一隻看不見的「幽靈之手」控制了，光標指向螢幕上的變電站斷路器按鈕，一個斷路器被斷開。

城外某區域內數以千計的居民立即陷入黑暗和寒冷。

隨後一個又一個斷路器被「幽靈之手」斷開，最終導致約30座變電站下線，兩座配電中心停擺，23萬當地居民無電可用。

雖然變電站在數小時後以手動方式恢復了電力供應，但黑客們對16座變電站的斷路器設備固件(指嵌入式軟體)進行了改寫，用惡意固件替代了合法固件，這些斷路器全部失靈，任憑黑客擺布。

高大上的供電設備似乎被武功高手點了穴，癱倒在地。

你看不見它們，但它們卻可以接管並攻擊你的設備，這就是黑客刺向受害者的「暗劍」。

刀光劍影閃過，一片狼藉，設備屍橫遍野。

事實上，烏克蘭電站擁有強大的安全防火牆，其控制系統的安全水平比美國境內部分設施還要高。

可即使在如此強悍防禦措施下，經過「完美預謀和精心組織」，黑客仍然攻破了電站防線。

在更早的2008年8月5日，裏海石油大動脈「巴庫-提比里西-傑伊漢石油管道」30號閥門站因遭受攻擊在土耳其境內發生爆炸。

令人奇怪的是，攻擊閥門站的武器並非炸彈，而是黑客，而黑客進入控制系統的切入點竟是監控攝像頭。

黑客利用監控攝像頭存在的通信軟體漏洞，用一個惡意程序建立了隨時可進入內部系統的賽博通道，接下來的攻擊行動就很簡單了。

在不觸動警報的情況下，黑客通過加大石油管道內的壓力，當壓力大到管道或閥門難以承受時，爆炸就發生了。

2015年，兩名黑客查理·米勒和克里斯·瓦拉賽克就曾演示過如何侵入Uconnect車載系統。

利用Uconnect軟體的缺陷，很容易從任何接入網際網路的地方展開攻擊，遠程獲取汽車的關鍵功能操作權限，利用汽車CAN總線將惡意控制信息發送至電子控制單元，由此而控制汽車的物理系統如啟動雨刷、調大冷風、踩下剎車、讓引擎熄火、令所有電子設備宕機等。

幸好這兩位是白帽子黑客(指不做壞事的黑客)他們是在通知了原廠商9個月後才對外公布Uconnect漏洞的。

也許在不遠的將來，一輛無人駕駛汽車被恐怖分子劫持，加速撞向某個指定目標，這是否有可能發生？

明槍易躲，暗「劍」難防。

人為刀俎，汝為魚肉。

這是「暗劍」的顯著特點。

這些安全隱患皆源於軟體缺陷、賽博通道以及意想不到的疏漏。

設備太多，防護太少。

防不勝防。

木馬植入之「毒劍」

木馬病毒植入最具代表性的案例，當屬大規模破壞了伊朗濃縮鈾工廠離心機的「震網」病毒。

伊朗濃縮鈾工廠的離心機是仿製的法國老產品，加工精度差，承壓性差，只能低速運轉，而且是完全物理隔離的。

但是，美以情報部門通過長時間的研究與合作，設計出了最強的「震網」病毒，通過加速旋轉摧毀了大批離心機，「效果比全炸毀還好」，主要步驟可謂精心設計。

無形植入：通過感染所有潛在工作者(如西門子員工)的U盤，病毒不知不覺被帶入工廠。

伊朗方面會用查殺病毒軟體做常規檢測，但這種病毒根本查不出來。

病毒悄悄嵌入系統，使殺毒軟體看不到病毒文件名。

如果殺毒軟體掃描U盤，木馬就修改掃描命令並返回一個正常的掃描結果！

感染傳播：利用電腦系統的.lnk漏洞、Windows鍵盤文件漏洞、列印緩衝漏洞來傳播病毒，8種感染方式確保電腦內網上的病毒都會相互自動更新和互補。

動態隱藏：把所需的代碼存放在虛擬文件中，重寫系統的API(應用程式接口)以將自己藏入，每當系統有程序訪問這些API時就會將病毒代碼調入內存。

內存運行：病毒會在內存中運行時自動判斷CPU負載情況，只在輕載時運行，以避免系統速度表現異常而被發現。

關機後代碼消失，開機病毒重啟。

精選目標：由於鈾濃縮廠使用了西門子S7-315和S7-417兩個型號的PLC(可編程邏輯控制器)，病毒就把它們作為目標。

如果網內沒有這兩種PLC，病毒就潛伏。

如找到目標，病毒利用Step 7軟體中漏洞突破後台權限，並感染資料庫，於是所有使用該軟體連接資料庫的人的電腦和U盤都被感染，他們都變成了病毒輸送者。

巧妙攻擊：在難以察覺中，病毒對其選中的某些離心機進行加速，讓離心機承受不可承受的高轉速而損毀。

初期伊朗人還以為這種損壞僅僅是設備本身的質量問題，直到發現大量設備損毀之後，才醒悟過來，但為時已晚。

2017年5月13日，坊間被一款名為WanaCrypt0r 2.0的比特幣勒索病毒爆發的消息刷屏，該病毒大規模集中爆發於英國醫療機構以及中國高校。

一時間，人人自危，談勒索病毒色變。

剛剛應對完過去這一波勒索病毒，很多人還沒有喘過氣來，當年6月27日晚間，一波大規模PetyaWrap勒索蠕蟲病毒攻擊再度席捲全球。

近百個國家的政府部門、銀行、電力系統、通信系統、企業以及機場等都不同程度地受到影響。

不少依靠網絡設備進行「無紙辦公」的政府部門，重新用上了紙文件，加油站、醫療設備停止運行，待搶救的病人只能等死。

劍上塗毒，見血封喉；偽裝潛伏，擇機爆發。

這是「毒劍」的顯著特點。

由此可見，軟體的漏洞讓諸如「震網」這類病毒變得無比狡猾，且讓病毒攻擊變得很有針對性。

誰能說賽博通道是安全的？誰又能說在我國某地或某企業的內網中，一定沒有類似「震網」病毒存在呢？

軟體後門之「陰劍」

目前國內在用的工業軟體中，國外的軟體普遍具有明顯優勢。

在大型央企、國企、民企等關鍵企業中，國外軟體占據壟斷地位。

這些軟體多數為美、歐、日等西方已開發國家開發，並且絕大多數對中國客戶不開放原始碼，特別是近年來這些軟體又都融合了網際網路技術。

根據筆者多年來在企業調研和在市場上觀察到的種種現象，在泄露商業機密和軍工機密的案例中，除了國外黑客網絡攻擊和木馬病毒植入之外，國外軟體的數據「走後門」現象也十分普遍。

這種現象大致源於兩種情況：

一是軟體原廠商為了改進產品質量，對用戶使用軟體產品的情況進行跟蹤。

廠商希望通過收集使用大數據，找出用戶的使用習慣和操作不便之處，以便在後期版本中改進軟體功能。

這種收集數據的出發點是善意的，通常也用「是否願意加入XX產品的改進計劃」的名義問詢用戶的意願。

二是完全出於某種不可告人的目的，特定設計的軟體「後門」。

如果安裝使用軟體的電腦是聯網的，那麼某些「廠商所需數據」就在以某種觸發機制(如按照累積量)隨機或定時發送。

如果電腦是不聯網(如物理隔絕)的，那麼就伺機尋找網絡發送。

其實這種發送機制已經就是「明偷暗搶」了。

只不過，用戶可能知道，也可能不知道，即使知道了也沒辦法制止。

因為軟體代碼都是不可見的二進位執行代碼，通常很難查出這種後門發送數據的代碼處於軟體中的位置。

陰損之劍，殺人無形；每日一劍，傷皮放血。

這是「陰劍」的顯著特點。

企業里的各種殺毒軟體，對軟體後門是發現不了的，因為軟體後門並非病毒，而是前門緊閉，後門洞開，開門揖盜。

長此以往，情況就會變得嚴重。

國外軟體廠商(和情報部門)甚至能對央企、國企的人事變動、管理規章、內部報價、產品數據、合同文本、談判條款等機密數據一清二楚，即使在伺服器物理隔絕的狀態下，有些數據仍可能外泄。

為錢賣鑰之「鬼劍」

6月25日，發生在兩年前的國內一個工程領域的盜竊大案宣判，案值涉及近10億元，首犯僅判4年半，內鬼獲刑兩年半。

事情起源於2016年3月，國內某工程機械企業不斷接到各地分公司反饋稱，多台已銷售出的設備突然失聯，從該企業的控制大螢幕上莫名其妙地「消失」了。

隨後，「消失」的設備越來越多，數量多達千台，價值近10億元。

該企業檢查發現，連接設備的遠程監控系統(簡稱ECC系統)被人非法解鎖破壞，使該企業對在外的工程機械設備失去了網絡監控能力。

國內大部分工程機械企業都會在泵車中安裝類似的遠程操控系統，系統內置的傳感器會把泵車的GPS位置信息、耗油、機器運行時間等數據傳回總部。

因為這類大型設備較為昂貴，客戶很難一次全款買斷，往往採用「按揭銷售」的形式購買：泵車開機幹活就付錢，停機就無需付費，這原本是一個對雙方都有利的「結果經濟」模式。

工程機械企業對泵車的基本控制思路是，如果客戶每個月正常還款，則泵車運行正常；如果還款延後，泵車的運行效率會降為正常情況下的30%至50%；如果一再拖延，泵車就會被鎖死，無法運轉。

警方發現，破壞ECC系統的是一群熟知系統後台操作的團伙成員。

其中一名成員竟然是該企業在職員工。

另一名成員雖然在2013年離職，但同為熟知ECC系統操作的技術人員。

他們合夥利用ECC系統的軟體漏洞進行遠程解鎖，幾分鐘就可以解鎖一台設備GPS，非法獲利一兩萬元。

該團伙一而再再而三地作案，最終釀成震驚全國的大案。

家有內鬼，鬼必作祟；「鬼劍」刺處，機失難追。

這是「鬼劍」的顯著特點。

再好、再嚴密的設備防禦措施，也禁不住內鬼為錢賣鑰，貪財解鎖。

其實，無論多麼嚴密的設備上網防護措施，多麼完美的加密算法，當人心有鬼時，防護都可以破解。

最可靠的加密鑰匙，是人心、制度和法律。

如果按照此案的涉案值而不是按照其獲利額度來判決的話，首犯起碼應該入獄10年以上。

亂世用重典，如果此案重判，可能未來鮮有人敢做此事。

看來，與工聯網相適應的法律條款，仍然在不斷完善和修訂的路上。

後記

賽博空間，誰主沉浮

設備聯網了，數據流通了，控制精準了，管理提升了……工聯網僅僅呈現這些正面美好的景象嗎？每遇重大判斷，筆者常做反向思考：萬物互聯的反面是什麼？或如「禍兮福所倚，福兮禍所伏」。

顯然，4把達摩克利斯之劍高懸於工聯網之上。

如果仔細尋找，恐怕還不止於此。

在對工聯網的認知中，太多人都在強調：「網絡是基礎，平台是核心，安全是保障。

」但知行難以合一，人有認知局限和惰性，往往後知後覺。

劍不砍在自己身上，並不能體察徹骨之痛，亦難做到未雨綢繆。

病毒、黑客、後門、內鬼，無論哪一把劍都足以讓企業鮮血淋漓。

4種災害場景的區別僅僅是，企業感受到身上有多少道傷口，流了多少血，是否致命。

牛頓曾言：「給我一個支點，我可以撬動地球。

」今人亦言：「給我一個賽博通道，我可以隔空打牛。

」到了工聯網時代，一切都可以互聯互通互操作，比特數據已經可以往返太陽系邊緣，遍布全球的無數終端形成了無數賽博通道。

此間，究竟是誰來操控誰？筆者以為，一定是惡意侵入者操控毫無防範者，黑客高手操控技術菜鳥，賽博強國操控賽博弱國。

無他。

若沒有技術金盾、嚴格內控以及法律重典，工聯網就難有不破金身，也就難以健康發展。

自主可控是工業網際網路安全的核心保障

《中國經濟周刊》記者 陳棟棟｜北京 報導

台積電遭病毒攻擊事件再次敲響了工業網際網路安全的警鐘。

據台積電方面確認，此次病毒是勒索病毒WannaCry的變種。

該病毒自去年5月肆虐全球，對150個國家的用戶造成超過80億美元的損失。

台積電事件主要是因為新機台安裝過程中發生的操作失誤：未先隔離並確認無病毒的情況下聯網，導致病毒快速傳播，影響生產。

「台積電事件雖然發生在工控系統內，本質實為一般病毒引起的操作站故障。

但這次事件的發生也表明：即使是普通病毒的攻擊，也可造成嚴重的生產事故。

如果是更強大的工控系統專有病毒，多數公司是沒有抵抗力的。

」中控集團創始人褚健接受《中國經濟周刊》記者採訪時說。

國內工業網際網路第一股東土科技董事長李平認為，台積電事件是對全世界、尤其是製造業大國中國的一個警示：「與民用網際網路不同，工業網際網路牽涉到國家安全等核心利益。

因此，與民用通信相比，機器之間的工業通信的安全性要求也更高，除了安全技術標準高，還必須自主可控。

」

勒索病毒波及多個行業

在勒索病毒WannaCry的肆虐之下，即使是像法國雷諾這樣的大型汽車集團為了防止勒索病毒感染擴散也不得不因此被迫關停。

工業控制系統安全國家聯合實驗室主任、360企業安全集團副總工程師陶耀東接受《中國經濟周刊》記者採訪時介紹，超過100個國家的上千萬台電腦被WannaCry病毒感染，很多系統癱瘓，「尤其是對工業生產系統造成的破壞尤為嚴重，法國汽車製造商雷諾集團的部分生產線受到感染，為了防止勒索病毒感染進一步在其生產內網擴散，其世界多處汽車生產線被迫關停。

」

不止於此，羅馬尼亞汽車製造商達西亞公司位於米奧維尼的生產線部分IT系統也被勒索病毒感染，並隨即停止生產，關閉所有生產線，採取隔離、打補丁等各種措施防止病毒擴散；日本汽車製造商NISSAN位於英格蘭的桑德蘭工廠同樣也遭到勒索病毒的攻擊，其生產也受到了影響。

在國內，僅360企業處理過的勒索病毒感染事件，就涉及汽車生產、智能製造、電子加工、菸草等領域的10餘家單位，規模最大的涉及2000多台工業主機，重要生產線停產。

在陶耀東看來，安全事件暴露出的主要問題是企業的工業資產不清、工業網絡連接混亂、移動介質疏於管理、工業網絡缺少安全監測防護措施以及員工網絡安全意識普遍不強等。

「這也是現狀，我國的工業系統普遍處於沒有任何防護手段的裸奔狀態，企業甚至不了解自己的工業系統資產以及系統之間如何互聯，對於勒索軟體危害與安全事件發展趨勢和應對策略更是缺乏了解。

」陶耀東提醒，在勒索軟體攻擊日益頻繁、各類網絡危害日益嚴重的背景下，不排除將來爆發更大範圍的勒索類惡意軟體或網絡危害事件，甚至發展為以商業攻擊或破壞為目的、定點投放勒索或破壞類惡意軟體的攻擊方式，進而可能給企業造成毀滅性打擊。

企業對工控病毒有無抵抗力

相較於消費類網際網路，工業網際網路安全影響面更大。

「台積電遭攻擊屬於傳統網際網路威脅對工控系統的一次誤傷，而非典型的工控安全事件。

」在褚健看來，典型的工控系統安全事件當屬2010年伊朗的「震網事件」。

外媒報導稱，伊朗購買的幾十台離心機的工控系統多次被震網病毒攻擊而癱瘓，對其國家安全造成嚴重影響。

褚健說，工控安全不同於傳統信息安全，針對工控系統攻擊的發起者通常存在一定的戰略目的，而非簡單的利益需求。

工控系統的攻擊分顯性和隱性兩種，顯性如破壞關鍵設備，隱性如長期潛伏，篡改生產工藝，破壞產品品質。

前者會導致國家關鍵基礎設施受到破壞，引起社會恐慌，威脅國家安全；後者會對企業造成不可估量的損失，且不易被發現。

「兩類攻擊都會破壞工控系統的原有控制邏輯，多數是有組織、有預謀、有針對性的『特殊任務』。

」

「我國曾經發生過多次生產安全事故，但安全事件一般被認為是操作失誤或者設備缺陷導致，很少從工控信息安全的角度去分析。

」褚健認為，這恰好符合工控專有病毒(工控專有攻擊行為)的特徵：以破壞生產安全為目的且十分隱蔽。

工控專有病毒可直搗控制系統核心控制區域，在造成破壞的同時不留痕跡。

他希望有關方面吸取教訓，更加重視工業信息安全。

長期關注工業網際網路發展的中發智造總裁邢鳳祥對《中國經濟周刊》記者說，很多工業領域的安全建設幾乎為零，聯網後的絕大部分工控系統是「零防護」裸露在網際網路中，極易成為病毒的主要攻擊目標。

自主可控是安全核心

面對已經到來的數字時代和更多未知的安全威脅，如何構建工業網際網路安全體系？

褚健認為，要改變過去「先生產、再安全」的工控安全實施策略，要讓安全建設與工業網際網路同步發展。

與此同時，從國防、工業等戰略安全角度去分析問題，從工控系統安全產業與服務一體化的角度去解決問題，防控工業網際網路安全風險。

需要注意的是，我國工業控制系統安全產業鏈尚未形成，缺少符合各層級工業企業和工程的工業信息安全整體解決方案，尤其是針對工控系統的安全。

電廠電網、石油煉化、重大水利工程、城市與軌道交通、輸油管線、國防裝備以及其他重要基礎設施，目前仍大量使用國外控制系統。

「當然，工控系統網絡安全問題不能一概而論，建議從國家安全需求出發，對工控系統網絡安全進行分類；建設國家級工控網絡靶場，提供開放的環境體系化、全生命周期研究工控安全。

」褚健說。

陶耀東也建議，工業企業要從戰略層面高度重視網絡安全，制定安全戰略，儘快開展企業資產和脆弱性識別，進行威脅建模。

根據面臨的風險級別和企業的能力，採取措施以消除隱患；政府應加強管理、監督和指導，出台相關安全方面的法律法規；工業控制系統生產商、集成商和服務商，信息安全廠商等要加強工業網絡安全研究和投入，提升保障能力。

「網絡安全的核心是技術安全。

」中國工程院院士倪光南日前在一論壇上指出，我國應將自主可控作為技術安全和網絡安全的必要條件。

「過去對自主可控沒有制度保證，中興事件是一個教訓。

」

同樣持「自主可控」觀點的還有東土科技董事長李平，他對《中國經濟周刊》記者說：「說一千道一萬，工業網際網路是未來，是必然要做的。

其最大的風險是能否做到自主可控。

不然，做的越多，風險越大。

」