搜狐首页 科技 宫主大人

手机搜狐

SOHU.COM

勒索软件再升级,工控系统险遭殃?

勒索软件已经成为了商务企业、教育机构以及医疗卫生部门的心头大患。而近期又有网络安全研究人员发现,通过恶意软件来攻击城市的基础设施其实也并没有多大的难度。这些基础设施是一个城市能够正常运转的基础,这无疑是在我们目前生活环境的安全状况雪上加霜。

公共基础设施处于安全风险之中

就在情人节的这一天,来自佐治亚理工学院的网络安全研究专家披露了一款由他们自行设计和开发的新型勒索软件,而需要注意的是,这是一款专门针对工业控制系统的恶意软件。研究人员也通过实验证明了,这款勒索软件可以轻而易举地“拿下”城市的污水处理系统。

虽然此次攻击实验的对象并非真正的城市污水处理系统,而是模拟出来的,但这也足以证明网络攻击者可以通过恶意软件破坏我们日常生活所必须的一些关键基础设施。除了污水处理系统之外,还有能源供应系统、水资源供应系统、供暖系统、通风系统、空调控制系统和自动扶梯控制器都将处于安全风险之中。

研究成果发布

目前,研究人员已经在美国旧金山的RSA大会上公布了他们的研究成果。

在此次RSA大会上,该研究团队也向我们描述了他们是如何去识别工业设备中各种常见可编程逻辑控制器(PLC)的。在获取到了三种不同的工业设备之后,研究人员立刻对这些设备的安全等级和安全状态进行了测试,例如密码保护状态以及它们抵御恶意攻击的能力。

研究人员利用可编程逻辑控制器(PLC)和一些水管以及水箱等工具模拟出了一个小型的污水处理系统,但是这个小型系统的功能并不是对水进行过滤和净化的。研究人员将原本用于净化水的氯替换成了碘和淀粉,当攻击者通过恶意远程控制来向水中添加碘时,水箱中的水就会变成蓝色。

首先,研究人员通过类似钓鱼邮件和恶意链接等常见的攻击方法让目标系统成功感染勒索软件,然后再利用勒索软件来对目标系统实施模拟攻击。实验结果表明,这款新型的勒索软件能够关闭并锁定关键的工业控制系统。

当某个工业控制系统被攻击者恶意关闭之后,也就意味着这个系统成为了攻击者手中的“人质”。此时,如果有关部门拒绝支付赎金的话,攻击者就可以威胁在城市供水系统中添加过量的氯,而这将会给整个城市居民的人身安全带来危险。

除此之外该研究团队还表示,攻击者还可以通过攻击系统的可编程逻辑控制器(PLC)来关闭水阀或篡改设备读数。

来自佐治亚理工学院电气与计算机工程系的博士生David Formby表示:“适量的氯可以对水进行消毒,而且饮用起来也不会对人的身体造成伤害。但是水中添加过量的氯将会使人体产生多种不良反应,所以这种情况下的水是非常危险的。”

精选