病毒、黑客、后门、内鬼——工业互联网头悬四把”利剑“

黑客攻击之“暗剑”

2015年12月23日15：30，乌克兰西部伊万诺-弗兰科夫斯克电力控制中心。运维人员猛然发现，计算机屏幕上的光标被一只看不见的“幽灵之手”控制了，光标指向屏幕上的变电站断路器按钮，一个断路器被断开。城外某区域内数以千计的居民立即陷入黑暗和寒冷。随后一个又一个断路器被“幽灵之手”断开，最终导致约30座变电站下线，两座配电中心停摆，23万当地居民无电可用。

虽然变电站在数小时后以手动方式恢复了电力供应，但黑客们对16座变电站的断路器设备固件（指嵌入式软件）进行了改写，用恶意固件替代了合法固件，这些断路器全部失灵，任凭黑客摆布。高大上的供电设备似乎被武功高手点了穴，瘫倒在地。

你看不见它们，但它们却可以接管并攻击你的设备，这就是黑客刺向受害者的“暗剑”。刀光剑影闪过，一片狼藉，设备尸横遍野。

事实上，乌克兰电站拥有强大的安全防火墙，其控制系统的安全水平比美国境内部分设施还要高。可即使在如此强悍防御措施下，经过“完美预谋和精心组织”，黑客仍然攻破了电站防线。

在更早的2008年8月5日，里海石油大动脉“巴库-第比利斯-杰伊汉石油管道”30号阀门站因遭受攻击在土耳其境内发生爆炸。令人奇怪的是，攻击阀门站的武器并非炸弹，而是黑客，而黑客进入控制系统的切入点竟是监控摄像头。

黑客利用监控摄像头存在的通信软件漏洞，用一个恶意程序建立了随时可进入内部系统的赛博通道，接下来的攻击行动就很简单了。在不触动警报的情况下，黑客通过加大石油管道内的压力，当压力大到管道或阀门难以承受时，爆炸就发生了。

2015年，两名黑客查理·米勒和克里斯·瓦拉赛克就曾演示过如何侵入Uconnect车载系统。利用Uconnect软件的缺陷，很容易从任何接入互联网的地方展开攻击，远程获取汽车的关键功能操作权限，利用汽车CAN总线将恶意控制信息发送至电子控制单元，由此而控制汽车的物理系统——如启动雨刷、调大冷风、踩下刹车、让引擎熄火、令所有电子设备宕机等。幸好这两位是白帽子黑客（指不做坏事的黑客）——他们是在通知了原厂商9个月后才对外公布Uconnect漏洞的。也许在不远的将来，一辆无人驾驶汽车被恐怖分子劫持，加速撞向某个指定目标，这是否有可能发生？

明枪易躲，暗“剑”难防。人为刀俎，汝为鱼肉。这是“暗剑”的显著特点。

这些安全隐患皆源于软件缺陷、赛博通道以及意想不到的疏漏。设备太多，防护太少。防不胜防。

木马植入之“毒剑”

木马病毒植入最具代表性的案例，当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。

伊朗浓缩铀工厂的离心机是仿制的法国老产品，加工精度差，承压性差，只能低速运转，而且是完全物理隔离的。但是，美以情报部门通过长时间的研究与合作，设计出了最强的“震网”病毒，通过加速旋转摧毁了大批离心机，“效果比全炸毁还好”，主要步骤可谓精心设计。

无形植入：通过感染所有潜在工作者（如西门子员工）的U盘，病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测，但这种病毒根本查不出来。病毒悄悄嵌入系统，使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘，木马就修改扫描命令并返回一个正常的扫描结果！

感染传播：利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒，8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。

动态隐藏：把所需的代码存放在虚拟文件中，重写系统的API（应用程序接口）以将自己藏入，每当系统有程序访问这些API时就会将病毒代码调入内存。

内存运行：病毒会在内存中运行时自动判断CPU负载情况，只在轻载时运行，以避免系统速度表现异常而被发现。关机后代码消失，开机病毒重启。

精选目标：由于铀浓缩厂使用了西门子S7-315和S7-417两个型号的PLC（可编程逻辑控制器），病毒就把它们作为目标。如果网内没有这两种PLC，病毒就潜伏。如找到目标，病毒利用Step 7软件中漏洞突破后台权限，并感染数据库，于是所有使用该软件连接数据库的人的电脑和U盘都被感染，他们都变成了病毒输送者。

巧妙攻击：在难以察觉中，病毒对其选中的某些离心机进行加速，让离心机承受不可承受的高转速而损毁。初期伊朗人还以为这种损坏仅仅是设备本身的质量问题，直到发现大量设备损毁之后，才醒悟过来，但为时已晚。

2017年5月13日，坊间被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏，该病毒大规模集中爆发于英国医疗机构以及中国高校。一时间，人人自危，谈勒索病毒色变。刚刚应对完过去这一波勒索病毒，很多人还没有喘过气来，当年6月27日晚间，一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的政府部门，重新用上了纸文件，加油站、医疗设备停止运行，待抢救的病人只能等死。

剑上涂毒，见血封喉；伪装潜伏，择机爆发。这是“毒剑”的显著特点。

由此可见，软件的漏洞让诸如“震网”这类病毒变得无比狡猾，且让病毒攻击变得很有针对性。谁能说赛博通道是安全的？谁又能说在我国某地或某企业的内网中，一定没有类似“震网”病毒存在呢？

软件后门之“阴剑”

目前国内在用的工业软件中，国外的软件普遍具有明显优势。在大型央企、国企、民企等关键企业中，国外软件占据垄断地位。这些软件多数为美、欧、日等西方发达国家开发，并且绝大多数对中国客户不开放源代码，特别是近年来这些软件又都融合了互联网技术。

根据笔者多年来在企业调研和在市场上观察到的种种现象，在泄露商业机密和军工机密的案例中，除了国外黑客网络攻击和木马病毒植入之外，国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况：

一是软件原厂商为了改进产品质量，对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据，找出用户的使用习惯和操作不便之处，以便在后期版本中改进软件功能。这种收集数据的出发点是善意的，通常也用“是否愿意加入XX产品的改进计划”的名义问询用户的意愿。

二是完全出于某种不可告人的目的，特定设计的软件“后门”。如果安装使用软件的电脑是联网的，那么某些“厂商所需数据”就在以某种触发机制（如按照累积量）随机或定时发送。如果电脑是不联网（如物理隔绝）的，那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过，用户可能知道，也可能不知道，即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码，通常很难查出这种后门发送数据的代码处于软件中的位置。

阴损之剑，杀人无形；每日一剑，伤皮放血。这是“阴剑”的显著特点。

企业里的各种杀毒软件，对软件后门是发现不了的，因为软件后门并非病毒，而是前门紧闭，后门洞开，开门揖盗。长此以往，情况就会变得严重。国外软件厂商（和情报部门）甚至能对央企、国企的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚，即使在服务器物理隔绝的状态下，有些数据仍可能外泄。

为钱卖钥之“鬼剑“

6月25日，发生在两年前的国内一个工程领域的盗窃大案宣判，案值涉及近10亿元，首犯仅判4年半，内鬼获刑两年半。

事情起源于2016年3月，国内某工程机械企业不断接到各地分公司反馈称，多台已销售出的设备突然失联，从该企业的控制大屏幕上莫名其妙地“消失”了。随后，“消失”的设备越来越多，数量多达千台，价值近10亿元。

该企业检查发现，连接设备的远程监控系统（简称ECC系统）被人非法解锁破坏，使该企业对在外的工程机械设备失去了网络监控能力。

国内大部分工程机械企业都会在泵车中安装类似的远程操控系统，系统内置的传感器会把泵车的GPS位置信息、耗油、机器运行时间等数据传回总部。因为这类大型设备较为昂贵，客户很难一次全款买断，往往采用“按揭销售”的形式购买：泵车开机干活就付钱，停机就无需付费，这原本是一个对双方都有利的“结果经济”模式。工程机械企业对泵车的基本控制思路是，如果客户每个月正常还款，则泵车运行正常；如果还款延后，泵车的运行效率会降为正常情况下的30%至50%；如果一再拖延，泵车就会被锁死，无法运转。

警方发现，破坏ECC系统的是一群熟知系统后台操作的团伙成员。其中一名成员竟然是该企业在职员工。另一名成员虽然在2013年离职，但同为熟知ECC系统操作的技术人员。他们合伙利用ECC系统的软件漏洞进行远程解锁，几分钟就可以解锁一台设备GPS，非法获利一两万元。该团伙一而再再而三地作案，最终酿成震惊全国的大案。

家有内鬼，鬼必作祟；“鬼剑”刺处，机失难追。这是“鬼剑”的显著特点。

再好、再严密的设备防御措施，也禁不住内鬼为钱卖钥，贪财解锁。其实，无论多么严密的设备上网防护措施，多么完美的加密算法，当人心有鬼时，防护都可以破解。最可靠的加密钥匙，是人心、制度和法律。

如果按照此案的涉案值而不是按照其获利额度来判决的话，首犯起码应该入狱10年以上。乱世用重典，如果此案重判，可能未来鲜有人敢做此事。看来，与工联网相适应的法律条款，仍然在不断完善和修订的路上。