案例起因** 工厂 A 和工厂 B 正在争夺一笔巨额海外订单。这笔订单对双方都非常重要,可能直接影 响今后在业界的地位。 工厂 B 的老板悄悄找来了分管技术的副厂长,让他在厂里选两个技术最好的人,设法入 侵工厂 A 的自动化生产系统,使其无力争夺当前这笔订单。IT 部门的小王和自动化部门的小 刘被选中了。
案例描述** 图 4.1 给出了虚拟攻击者利用工业控制系统的现场无线网络从工厂 A 的外部逐步渗透, 最终侵入到工艺处理区网络,达到干扰公司 A 的生产控制过程,进而影响其产品质量的攻击 场景示意图。案例的虚拟入侵过程具体描述如下: 第一步:侵入无线运料小车网络 小王从小刘处了解到,工厂 A 也在使用无线运料小车,运料小车通过 802.11b 协议连接 到工艺处理区的网络。小王对无线网络比较熟悉,他认为这可能是比较容易的突破口。 通过实地察看,小王发现工厂 A 的安全保卫工作比较严密,外人并不容易混进去。而距 离围墙最近的厂房也有二十多米。小王带着笔记本电脑在围墙外尝试扫描无线网络,勉强看 到一些信号,但连接很不稳定。并且在围墙外也很容易被人发现。 攻击目标 攻 击 路 径及 步骤 攻击者** 图 4.1 案例 1:攻击者利用现场无线网络干扰工厂生产的攻击场景 于是小王带着一只 16dBi 增益的定向天线,一只大功率无线网卡,和小刘在工厂 A 附近 的一栋居民楼租了间房。这间房和最近的厂房距离大约 200 米。 小王在窗口架设好天线,指向厂房。连接好所有设备后,他运行了一个无线网络信息收 集工具。小王惊奇地发现,运料小车和无线接入点之间的通信甚至没有启用 WEP 加密——事 实上,即使启用了 WEP 这种并不安全的加密方式,也可以很快破解得到密码。 小王很轻松地将笔记本通过无线网络接入了运料小车所在的网络,然后运行网络扫描程 序,开始收集信息。 第二步:侵入工艺处理区网络,干扰生产控制设备 小刘告诉他,接入运料小车所在的工艺处理区网络后,不光可以直接访问网络中所有其 它运料小车和生产设备的 PLC,还有可能访问到 SCADA 服务器和工程师工作站等。 根据小刘提供的信息,小王对扫描结果进行分析,在其中寻找工业控制相关协议的默认 端口,很容易就识别出了几十台运料小车对应的几十个 IP 地址。因为这些运料小车都开启了 TCP/502 端口,也就是 MODBUS 协议使用的端口。 小王通过无线网络抓取了一些运料小车的控制数据,交给小刘分析,希望通过这种方法 了解运料小车的控制协议,但小刘表示这比较困难。小王注意到运料小车的 IP 上除 MODBUS 的 TCP/502 端口外,还开启了 HTTP 服务。他用浏览器访问小车的 HTTP 服务,发现这是运 料小车的管理界面,在这个界面上可以找到厂商、型号等信息。 小刘告诉小王,工业控制系统一般都是集成化的,从运料小车上看到的厂商信息,可能 就是工厂 A 的整套工业控制系统提供商。于是小刘以工厂 B 技术人员的身份,很容易从这家 提供商处索取到了相关文档和试用软件等资料。 利用这些资料,再结合对网络的扫描结果,小王和小刘不但很快摸清了这套工业控制网 络的结构,还知道了如何控制运料小车——他们甚至不需要分析控制协议,直接用从厂家索 取的软件就行了。 小王提出,可以通过控制运料小车,使其改变装料、卸料等时间,让工厂 A 无法生产出 合格的产品。但小刘提醒他说,小车的异常动作可能很容易被发现,从而引起怀疑和追查。 小刘看了小王的扫描结果,参考之前从工厂 A 的控制系统提供商处索取的资料,发现工 艺处理区的网络里还有一些 IP 地址对应的是生产设备的温度控制器。于是他提出,可以一方 面接管对温度控制器的控制,发送伪造的控制命令,使工艺温度略微提高一些,导致产品质 量下降;同时给 SCADA 服务器发送伪造的传感器数据,使 SCADA 服务器认为设备温度仍然 是正常的。这样,即使工厂 A 发现了产品存在问题,也很难找到原因。 小王研究了一会儿,认为这个方案在技术上可行。 攻击持续数日后,果然传出了工厂 A 产品质量出现问题,并找不到原因的消息。还听说 他们找来工业控制系统提供商的技术人员帮忙。于是小王停止了攻击,和小刘悄悄离开了那 栋居民楼。
案例结果** 最终,那笔海外订单被工厂 B 获得了,而工厂 A 的生产线也恢复了正常。他们一直不知 道为什么会在那个关键时刻出现问题。曾怀疑是内部有人捣鬼,但察看了监控录像,并没有 发现任何异常。