黑客攻击、木马植入——工业互联网头悬四把利剑

木马植入之“毒剑”

木马病毒植入最具代表性的案例，当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。

伊朗浓缩铀工厂的离心机是仿制的法国老产品，加工精度差，承压性差，只能低速运转，而且是完全物理隔离的。但是，美以情报部门通过长时间的研究与合作，设计出了最强的“震网”病毒，通过加速旋转摧毁了大批离心机，“效果比全炸毁还好”，主要步骤可谓精心设计。

无形植入：通过感染所有潜在工作者(如西门子员工)的U盘，病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测，但这种病毒根本查不出来。病毒悄悄嵌入系统，使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘，木马就修改扫描命令并返回一个正常的扫描结果！

感染传播：利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒，8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。

动态隐藏：把所需的代码存放在虚拟文件中，重写系统的API(应用程序接口)以将自己藏入，每当系统有程序访问这些API时就会将病毒代码调入内存。

内存运行：病毒会在内存中运行时自动判断CPU负载情况，只在轻载时运行，以避免系统速度表现异常而被发现。关机后代码消失，开机病毒重启。

精选目标：由于铀浓缩厂使用了西门子S7-315和S7-417两个型号的PLC(可编程逻辑控制器)，病毒就把它们作为目标。如果网内没有这两种PLC，病毒就潜伏。如找到目标，病毒利用Step 7软件中漏洞突破后台权限，并感染数据库，于是所有使用该软件连接数据库的人的电脑和U盘都被感染，他们都变成了病毒输送者。

巧妙攻击：在难以察觉中，病毒对其选中的某些离心机进行加速，让离心机承受不可承受的高转速而损毁。初期伊朗人还以为这种损坏仅仅是设备本身的质量问题，直到发现大量设备损毁之后，才醒悟过来，但为时已晚。

2017年5月13日，坊间被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏，该病毒大规模集中爆发于英国医疗机构以及中国高校。一时间，人人自危，谈勒索病毒色变。刚刚应对完过去这一波勒索病毒，很多人还没有喘过气来，当年6月27日晚间，一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的政府部门，重新用上了纸文件，加油站、医疗设备停止运行，待抢救的病人只能等死。

剑上涂毒，见血封喉；伪装潜伏，择机爆发。这是“毒剑”的显著特点。

由此可见，软件的漏洞让诸如“震网”这类病毒变得无比狡猾，且让病毒攻击变得很有针对性。谁能说赛博通道是安全的？谁又能说在我国某地或某企业的内网中，一定没有类似“震网”病毒存在呢？

软件后门之“阴剑”

目前国内在用的工业软件中，国外的软件普遍具有明显优势。在大型央企、国企、民企等关键企业中，国外软件占据垄断地位。这些软件多数为美、欧、日等西方发达国家开发，并且绝大多数对中国客户不开放源代码，特别是近年来这些软件又都融合了互联网技术。

根据笔者多年来在企业调研和在市场上观察到的种种现象，在泄露商业机密和军工机密的案例中，除了国外黑客网络攻击和木马病毒植入之外，国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况：

一是软件原厂商为了改进产品质量，对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据，找出用户的使用习惯和操作不便之处，以便在后期版本中改进软件功能。这种收集数据的出发点是善意的，通常也用“是否愿意加入XX产品的改进计划”的名义问询用户的意愿。

二是完全出于某种不可告人的目的，特定设计的软件“后门”。如果安装使用软件的电脑是联网的，那么某些“厂商所需数据”就在以某种触发机制(如按照累积量)随机或定时发送。如果电脑是不联网(如物理隔绝)的，那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过，用户可能知道，也可能不知道，即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码，通常很难查出这种后门发送数据的代码处于软件中的位置。

阴损之剑，杀人无形；每日一剑，伤皮放血。这是“阴剑”的显著特点。

企业里的各种杀毒软件，对软件后门是发现不了的，因为软件后门并非病毒，而是前门紧闭，后门洞开，开门揖盗。长此以往，情况就会变得严重。国外软件厂商(和情报部门)甚至能对央企、国企的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚，即使在服务器物理隔绝的状态下，有些数据仍可能外泄。

为钱卖钥之“鬼剑”

6月25日，发生在两年前的国内一个工程领域的盗窃大案宣判，案值涉及近10亿元，首犯仅判4年半，内鬼获刑两年半。

事情起源于2016年3月，国内某工程机械企业不断接到各地分公司反馈称，多台已销售出的设备突然失联，从该企业的控制大屏幕上莫名其妙地“消失”了。随后，“消失”的设备越来越多，数量多达千台，价值近10亿元。

该企业检查发现，连接设备的远程监控系统(简称ECC系统)被人非法解锁破坏，使该企业对在外的工程机械设备失去了网络监控能力。

国内大部分工程机械企业都会在泵车中安装类似的远程操控系统，系统内置的传感器会把泵车的GPS位置信息、耗油、机器运行时间等数据传回总部。因为这类大型设备较为昂贵，客户很难一次全款买断，往往采用“按揭销售”的形式购买：泵车开机干活就付钱，停机就无需付费，这原本是一个对双方都有利的“结果经济”模式。工程机械企业对泵车的基本控制思路是，如果客户每个月正常还款，则泵车运行正常；如果还款延后，泵车的运行效率会降为正常情况下的30%至50%；如果一再拖延，泵车就会被锁死，无法运转。

警方发现，破坏ECC系统的是一群熟知系统后台操作的团伙成员。其中一名成员竟然是该企业在职员工。另一名成员虽然在2013年离职，但同为熟知ECC系统操作的技术人员。他们合伙利用ECC系统的软件漏洞进行远程解锁，几分钟就可以解锁一台设备GPS，非法获利一两万元。该团伙一而再再而三地作案，最终酿成震惊全国的大案。

家有内鬼，鬼必作祟；“鬼剑”刺处，机失难追。这是“鬼剑”的显著特点。

再好、再严密的设备防御措施，也禁不住内鬼为钱卖钥，贪财解锁。其实，无论多么严密的设备上网防护措施，多么完美的加密算法，当人心有鬼时，防护都可以破解。最可靠的加密钥匙，是人心、制度和法律。

如果按照此案的涉案值而不是按照其获利额度来判决的话，首犯起码应该入狱10年以上。乱世用重典，如果此案重判，可能未来鲜有人敢做此事。看来，与工联网相适应的法律条款，仍然在不断完善和修订的路上。

后记

赛博空间，谁主沉浮

设备联网了，数据流通了，控制精准了，管理提升了……工联网仅仅呈现这些正面美好的景象吗？每遇重大判断，笔者常做反向思考：万物互联的反面是什么？或如“祸兮福所倚，福兮祸所伏”。

显然，4把达摩克利斯之剑高悬于工联网之上。如果仔细寻找，恐怕还不止于此。

在对工联网的认知中，太多人都在强调：“网络是基础，平台是核心，安全是保障。”但知行难以合一，人有认知局限和惰性，往往后知后觉。剑不砍在自己身上，并不能体察彻骨之痛，亦难做到未雨绸缪。

病毒、黑客、后门、内鬼，无论哪一把剑都足以让企业鲜血淋漓。4种灾害场景的区别仅仅是，企业感受到身上有多少道伤口，流了多少血，是否致命。

牛顿曾言：“给我一个支点，我可以撬动地球。”今人亦言：“给我一个赛博通道，我可以隔空打牛。”到了工联网时代，一切都可以互联互通互操作，比特数据已经可以往返太阳系边缘，遍布全球的无数终端形成了无数赛博通道。

此间，究竟是谁来操控谁？笔者以为，一定是恶意侵入者操控毫无防范者，黑客高手操控技术菜鸟，赛博强国操控赛博弱国。无他。

若没有技术金盾、严格内控以及法律重典，工联网就难有不破金身，也就难以健康发展。

自主可控是工业互联网安全的核心保障

《中国经济周刊》记者 陈栋栋｜北京 报道

台积电遭病毒攻击事件再次敲响了工业互联网安全的警钟。

据台积电方面确认，此次病毒是勒索病毒WannaCry的变种。该病毒自去年5月肆虐全球，对150个国家的用户造成超过80亿美元的损失。

台积电事件主要是因为新机台安装过程中发生的操作失误：未先隔离并确认无病毒的情况下联网，导致病毒快速传播，影响生产。

“台积电事件虽然发生在工控系统内，本质实为一般病毒引起的操作站故障。但这次事件的发生也表明：即使是普通病毒的攻击，也可造成严重的生产事故。如果是更强大的工控系统专有病毒，多数公司是没有抵抗力的。”中控集团创始人褚健接受《中国经济周刊》记者采访时说。

国内工业互联网第一股东土科技董事长李平认为，台积电事件是对全世界、尤其是制造业大国中国的一个警示：“与民用互联网不同，工业互联网牵涉到国家安全等核心利益。因此，与民用通信相比，机器之间的工业通信的安全性要求也更高，除了安全技术标准高，还必须自主可控。”

勒索病毒波及多个行业

在勒索病毒WannaCry的肆虐之下，即使是像法国雷诺这样的大型汽车集团为了防止勒索病毒感染扩散也不得不因此被迫关停。

工业控制系统安全国家联合实验室主任、360企业安全集团副总工程师陶耀东接受《中国经济周刊》记者采访时介绍，超过100个国家的上千万台电脑被WannaCry病毒感染，很多系统瘫痪，“尤其是对工业生产系统造成的破坏尤为严重，法国汽车制造商雷诺集团的部分生产线受到感染，为了防止勒索病毒感染进一步在其生产内网扩散，其世界多处汽车生产线被迫关停。”

不止于此，罗马尼亚汽车制造商达西亚公司位于米奥维尼的生产线部分IT系统也被勒索病毒感染，并随即停止生产，关闭所有生产线，采取隔离、打补丁等各种措施防止病毒扩散；日本汽车制造商NISSAN位于英格兰的桑德兰工厂同样也遭到勒索病毒的攻击，其生产也受到了影响。

在国内，仅360企业处理过的勒索病毒感染事件，就涉及汽车生产、智能制造、电子加工、烟草等领域的10余家单位，规模最大的涉及2000多台工业主机，重要生产线停产。

在陶耀东看来，安全事件暴露出的主要问题是企业的工业资产不清、工业网络连接混乱、移动介质疏于管理、工业网络缺少安全监测防护措施以及员工网络安全意识普遍不强等。

“这也是现状，我国的工业系统普遍处于没有任何防护手段的裸奔状态，企业甚至不了解自己的工业系统资产以及系统之间如何互联，对于勒索软件危害与安全事件发展趋势和应对策略更是缺乏了解。”陶耀东提醒，在勒索软件攻击日益频繁、各类网络危害日益严重的背景下，不排除将来爆发更大范围的勒索类恶意软件或网络危害事件，甚至发展为以商业攻击或破坏为目的、定点投放勒索或破坏类恶意软件的攻击方式，进而可能给企业造成毁灭性打击。

企业对工控病毒有无抵抗力

相较于消费类互联网，工业互联网安全影响面更大。

“台积电遭攻击属于传统互联网威胁对工控系统的一次误伤，而非典型的工控安全事件。”在褚健看来，典型的工控系统安全事件当属2010年伊朗的“震网事件”。外媒报道称，伊朗购买的几十台离心机的工控系统多次被震网病毒攻击而瘫痪，对其国家安全造成严重影响。

褚健说，工控安全不同于传统信息安全，针对工控系统攻击的发起者通常存在一定的战略目的，而非简单的利益需求。工控系统的攻击分显性和隐性两种，显性如破坏关键设备，隐性如长期潜伏，篡改生产工艺，破坏产品品质。前者会导致国家关键基础设施受到破坏，引起社会恐慌，威胁国家安全；后者会对企业造成不可估量的损失，且不易被发现。“两类攻击都会破坏工控系统的原有控制逻辑，多数是有组织、有预谋、有针对性的‘特殊任务’。”

“我国曾经发生过多次生产安全事故，但安全事件一般被认为是操作失误或者设备缺陷导致，很少从工控信息安全的角度去分析。”褚健认为，这恰好符合工控专有病毒(工控专有攻击行为)的特征：以破坏生产安全为目的且十分隐蔽。工控专有病毒可直捣控制系统核心控制区域，在造成破坏的同时不留痕迹。他希望有关方面吸取教训，更加重视工业信息安全。

长期关注工业互联网发展的中发智造总裁邢凤祥对《中国经济周刊》记者说，很多工业领域的安全建设几乎为零，联网后的绝大部分工控系统是“零防护”裸露在互联网中，极易成为病毒的主要攻击目标。

自主可控是安全核心

面对已经到来的数字时代和更多未知的安全威胁，如何构建工业互联网安全体系？

褚健认为，要改变过去“先生产、再安全”的工控安全实施策略，要让安全建设与工业互联网同步发展。与此同时，从国防、工业等战略安全角度去分析问题，从工控系统安全产业与服务一体化的角度去解决问题，防控工业互联网安全风险。

需要注意的是，我国工业控制系统安全产业链尚未形成，缺少符合各层级工业企业和工程的工业信息安全整体解决方案，尤其是针对工控系统的安全。电厂电网、石油炼化、重大水利工程、城市与轨道交通、输油管线、国防装备以及其他重要基础设施，目前仍大量使用国外控制系统。

“当然，工控系统网络安全问题不能一概而论，建议从国家安全需求出发，对工控系统网络安全进行分类；建设国家级工控网络靶场，提供开放的环境体系化、全生命周期研究工控安全。”褚健说。

陶耀东也建议，工业企业要从战略层面高度重视网络安全，制定安全战略，尽快开展企业资产和脆弱性识别，进行威胁建模。根据面临的风险级别和企业的能力，采取措施以消除隐患；政府应加强管理、监督和指导，出台相关安全方面的法律法规；工业控制系统生产商、集成商和服务商，信息安全厂商等要加强工业网络安全研究和投入，提升保障能力。

“网络安全的核心是技术安全。”中国工程院院士倪光南日前在一论坛上指出，我国应将自主可控作为技术安全和网络安全的必要条件。“过去对自主可控没有制度保证，中兴事件是一个教训。”

同样持“自主可控”观点的还有东土科技董事长李平，他对《中国经济周刊》记者说：“说一千道一万，工业互联网是未来，是必然要做的。其最大的风险是能否做到自主可控。不然，做的越多，风险越大。”