像“瑞士军刀”一样的黑客，入侵工业控制系统

恶意软件旨在电网、工厂、水务公司和炼油厂等目标工业控制系统进行网络攻击。因此，漂亮国政府警告说，不仅针对其中一个行业，而且可能针对所有的行业攻击，全球的关键基础设施所有者应该警惕。

本周三，漂亮国能源部、网络安全和基础设施安全局、国家安全局和联邦调查局联合发布了关于可能能够干预各种工业控制系统设备的新黑客工具集的咨询。与之前的任何工业控制系统黑客工具包相比，该恶意软件包含一系列旨在中断或控制设备功能的组件，包括施耐德电气和OMRON出售的可编程逻辑控制器（PLC），旨在作为传统计算机与工业环境中执行器和传感器之间的接口。恶意软件的另一个组件旨在针对开放平台通信统一架构（OPC UA）服务器——与这些控制器通信的计算机。

以工业为重点的网络安全公司Dragos的威胁情报副总裁Sergio Caltagirone表示，这是有史以来录过的最广泛的工业控制系统攻击工具，他为咨询和发布了自己关于恶意软件的报告。Mandiant、Palo Alto Networks、微软和施耐德电气的研究人员也为该咨询做出了贡献。

他们形容：“这就像一把瑞士军刀，上面含有大量的碎片”。

恶意软件能够劫持目标设备，破坏或阻止运营商访问它们，甚至将它们用作立足点，黑客可以随意访问工业控制系统网络的它们部分。Dragos称之为“Pipedream”的工具包似乎专门针对施耐德电气和OMRON PLC，但它是通过在被称为Codesys的PLC中利用底层软件来做到这一点的，Codesys在数百种其他类型的PLC中被更广泛地使用。这意味着恶意软件可以很容易地适应几乎在任何工业环境中工作。

CISA公告是指开发恶意软件工具包的未命名的“APT参与者”，使用通用首字母缩略词APT表示高级持续威胁，这是国家赞助的黑客团体的术语。目前还不清楚政府机构在哪里发现了恶意软件，或者哪个国家的黑客创建了恶意软件——拜登政府警告说，俄罗斯政府在入侵乌克兰期间采取准备行动进行破坏性网络攻击。

Dragos还拒绝对恶意软件的来源发表评论。但Caltagirone表示，它似乎并没有真正用于对付受害者——或者至少，它尚未触发对受害者工业控制系统的实际物理影响。

虽然该工具包的适应性意味着它几乎可以用于任何工业环境，从制造系统到水处理系统，但Dragos指出，对施耐德电气和OMRON PLC的明显关注确实表明，鉴于施耐德在电力公用事业中的广泛使用以及OMRON在石油和天然气部门的广泛采用，黑客们可能用电网和炼油厂——特别是液化天然气设施——来建造工具包。Caltagirone表明，通过OMRON PLC向这些石化设施中的伺服电机发送命令的能力将特别危险，能够造成“破坏甚至系统性损失”。

CISA公告没有指出Pipedream恶意软件目标的设备或软件中的任何特定漏洞，尽管Caltagirone表示，它确实利用了多个零日漏洞——以前未修补的可黑客软件缺陷——这些漏洞仍在修复中。然而，他指出，即使修补这些漏洞也不会阻止Pipedream的大部分功能，因为它主要旨在劫持目标设备的预期功能，并在他们使用的协议中发送合法命令。CISA 咨询包括基础设施运营商为保护其运营而应采取的措施清单，从限制工业控制系统的网络连接到为ICS系统实施监控系统，特别是发送可疑行为警报的系统。

当《连线》杂志联系施耐德电气和欧姆龙时，施耐德发言人在一份声明中回应称，该公司与漂亮国政府和安全公司曼迪安特密切合作，他们共同“确定并制定了防护措施来抵御”新披露的攻击工具包。该公司补充说：“这是一个成功合作的例子，在关键基础设施发生之前阻止威胁，并进一步强调了公私伙伴关系如何有助于在威胁部署之前主动检测和应对威胁”。OMRON没有立即回应《连线》的置评请求。

Pipedream恶意软件工具包的发现是意外发现的针对工业控制系统（ICS）软件的少数恶意软件样本。这种恶意软件的第一个也是最臭名昭著的例子仍然是Stuxnet，这是美国和以色列创建的代码，在2010年被发现用于销毁伊朗的核浓缩离心机。最近，被称为沙虫的俄罗斯黑客是克里姆林宫GRU军事情报机构的一部分，他们部署了一个名为Industroyer或Crash Override的工具，2016年底，乌克兰首都基辅引发了停电。

第二年，与克里姆林宫有联系的黑客用一种名为Triton或Trisis的恶意软件感染了沙特阿拉伯炼油厂Petro Rabigh的系统，该恶意软件旨在针对其安全系统——可能会带来灾难性的物理后果——但相反引发了工厂的两次停工。然后，就在本月初，俄罗斯的沙虫黑客被发现使用他们工业者代码的新变体瞄准乌克兰的一个地区的电力公司，尽管乌克兰官员表示，他们设法检测到攻击并避免了停电。

然而，鉴于其功能的广度，Pipedream咨询是流氓ICS恶意软件库中一个特别令人不安的新威胁。但它的启示显然是在它可能被用于破坏性影响之前——出现在拜登政府对关键基础设施系统的潜在黑客威胁进行更大规模的打击，特别是来自俄罗斯的威胁。例如，上个月，漂亮国司法部对两个有针对电网和石化系统历史的俄罗斯黑客团体的未密封起诉书。一份起诉书首次点名了一名黑客，据称对沙特阿拉伯的Triton恶意软件袭击负责，并指控他和他的同谋以美国炼油厂为目标。第二份起诉书任命俄罗斯FSB情报机构的三名特工为臭名昭著的黑客组织Berserk Bear的成员，该团体负责多年的电力公用事业黑客攻击。然后本月初，联邦调查局采取措施破坏了由Sandworm控制的网络设备的僵尸网络，Sandworm仍然是历史上唯一已知触发停电的黑客。

Caltagirone表示，即使政府已采取措施呼吁甚至解除这些破坏性黑客的武装，Pipedream也是一个掌握在未知手中的强大恶意软件工具包，基础设施运营商需要采取措施保护自己。“这不是一件小事”。“这已经对工业控制系统的安全构成了明显而现实的危险”。