【製造業資安】這些年鎖定智慧工廠的病毒

在製造業當中導入所謂的「網宇實體系統」(Cyber-Physical System,簡稱 CPS),也就是一般所稱的工業 4.0 革命 (其具體展現就是智慧工廠),只是工業物聯網 (IIoT) 如何讓傳統與新興產業改善流程、提升效率、刺激創新的具體證明之一。這個新的連網時代,除了工廠內的系統開始彼此相連並連上企業網路、徹底改變了生產流程之外,同時也促使了工業 4.0 的追隨者開始思索在一個資訊技術 (IT)、營運技術 (OT)、智慧財產 (IP) 三者匯流的環境下,該如何重新調整資安策略來加以因應。

在工業環境,企業已經開始發現一個實體與數位交錯的全新領域。現在,隨著製造業網路的裝置和系統越來越多,駭客可利用的入侵點也因而增加。本文將根據趨勢科技 趨勢科技 Smart Protection Suites™ 的資料來探討製造業網路上數量最多的惡意程式、檢視製造業最常面臨的資安威脅,並且說明如何改善其網路資安。

Downad (Conficker)與Stuxnet病毒:習慣使用 USB傳輸資料是隱憂

圖 1:製造業是所有產業當中「autorun.inf」偵測數量最多的產業 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年 7 月至 12 月的資料)。

圖 1:製造業是所有產業當中「autorun.inf」偵測數量最多的產業 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年 7 月至 12 月的資料)。

在所有產業當中,製造業的「autorun.inf」偵測數量居冠。Downad (亦稱為 Conficker) 與其他 USB 蠕蟲都是利用「autorun.inf」檔案來讓它們在已感染的可卸除式裝置插入電腦時可以自動執行。這對習慣使用 USB 隨身碟在 IT 與 OT 網路之間傳輸資料的工業環境來說是一項隱憂。例如惡名昭彰、專門攻擊核電廠的 Stuxnet 惡意程式就是經由 USB 隨身碟散布 (雖然它也運用了一個系統漏洞來解析捷徑檔案)。像 Stuxnet 這樣的案例告訴我們,除了發動攻擊的歹徒之外,一般員工也可能因為外接裝置遭到感染而成為攻擊的幫兇。此外,雖然攻擊一開始是發生在企業網路內,但最終也可能波及工業控制系統。

勒索病毒綁架工廠事件頻傳

一個因為企業 IT 網路遭到攻擊而波及製造環境的案例是,全球鋁業巨頭因為遭到

LockerGoga勒索病毒攻擊而被迫改回手動作業流程。但談到勒索病毒,近年來最令人印象深刻的莫過於WannaCry(想哭)勒索病毒,該病毒在短時間內即癱瘓了大量企業的系統。此外,該惡意程式也感染了一些負責管理工業控制軟體的電腦,進而影響到工業控制系統。比如美國航太巨頭波音公司2018年五月傳出遭WannaCry 電腦病毒的襲擊,同年 8 月台灣也爆發知名大廠產線大當機事件。

WannaCry 之所以值得注意,是因為它利用了 Microsoft Windows 作業系統 Server Message Block (SMB) 通訊協定上的一個漏洞來散布,完全不假使用者之手。今日某些工業系統都還在使用 Windows 作業系統與 SMB 通訊協定,因而可能遭到專門針對 SMB 漏洞的 EternalBlue手法所攻擊。由於 OT 環境相對上不易進行系統修補,因此創造了一個讓惡意程式容易在網路內擴散的環境。

工業控制系統與工業基礎架構隨時都面臨駭客入侵關鍵流程的威脅。不幸的是,並非所有工業控制系統都是針對今日的連線環境與威脅而設計。其硬體與通訊協定不易整合,而且老舊的製造系統通常缺乏資安機制,或者安全機制必須翻新。事實上,我們只要使用 IoT 裝置搜尋引擎「Shodan」就能在網際網路上找到許多暴露在外的生產設備。

圖 2:暴露在外的混料機監控裝置及其溫度和速度等數值。

圖 2:暴露在外的混料機監控裝置及其溫度和速度等數值。

Trisis :第一個攻擊「安全儀控系統」( SIS) 的惡意程式

不僅如此,工業控制系統也無法對惡意程式免疫。2017 年出現的 Trisis 就是第一個攻擊「安全儀控系統」(Safety Instrumented System,簡稱 SIS) 的惡意程式。它專門攻擊 Schneider Electric 公司的 Triconex Safety Instrumented System 解決方案,該產品在中東能源產業擁有廣大用戶,該攻擊最令人矚目的就是曾造成某家工廠停擺。

除了停擺之外,工業網路遭到入侵,也可能導致機密資訊外洩,如:著作權、專利、商標和商業機密。一些含有產品設計藍圖或技術資料的電腦輔助設計 (CAD) 檔案或文件可能因而被歹徒掌握而加以利用。

圖 3:各產業的惡意 CAD 檔案偵測數量 (根據趨勢科技 Smart Protection Network 全球威脅情報網 2018 年 10 月至 12 月的資料)。

圖 3:各產業的惡意 CAD 檔案偵測數量 (根據趨勢科技 Smart Protection Network 全球威脅情報網 2018 年 10 月至 12 月的資料)。

製造業的惡意 CAD 檔案偵測數量最高

我們發現,在所有產業當中,製造業的惡意 CAD 檔案偵測數量最高。駭客可藉由 AutoCAD 軟體支援的 Visual Basic for Applications (VBA) 與 AutoLISP 功能來將 CAD 檔案木馬化。因此,企業的智慧財產若缺乏妥善保護,很可能將落入工業間諜手中,或者讓設計圖出現在地下市場,或者市面上出現仿冒產品。智慧財產的外流,最終甚至可能影響客戶和股東對公司的信心。

圖 4:網站上出現某熱門智慧型手機外流的 CAD 檔案。

圖 4:網站上出現某熱門智慧型手機外流的 CAD 檔案。

保護製造業網路與連網的生產環境

工業 4.0 時代的資安,是一項牽涉到 IT、OT 和 IP 的整體工作。勇於接受工業 4.0 挑戰的製造業者應建置一套完善的資安防護來確保實體資產與數位資產的安全,防範各種網路威脅和網路攻擊。系統和基礎架構若未能跟上今日工業環境的資安威脅情勢,很可能造成網路攻擊、停機或智慧財產外洩的狀況。

給製造業的三個資安建議

以下是製造業可以採取的一些資安措施:

  1. 徹底清查企業新增或現有的設備。IT 系統管理員應與營運工程師共同監控並掌握所有網路上所傳遞的資訊。這對於 IT、OT、IP 資安的整合以及日常資安情況的掌握與遭受攻擊時的事件應變至關重要。
  2. 教育員工遵守安全的作業程序。如同 IT 環境一樣,員工同樣也可能對 OT 網路的安全帶來風險。教導所有員工認識社交工程技巧以及危險的資訊分享行為,可防範資安意識不足或人為錯誤所導致的資料外洩。
  3. 實施網域或子網路管制。限制電腦可通訊的對象,適度隔離及管制企業網路與生產線電腦之間的連線。設定只有某些 IT 網路上的電腦才能存取生產線上的設備。

請閱讀我們的研究報告「保護智慧工廠:工業 4.0 時代製造業環境所面臨的威脅」(Securing Smart Factories: Threats to Manufacturing Environments in the Era of Industry 4.0) 來進一步了解製造業所面臨的威脅情勢以及我們針對該產業所提出資安建議。

原文出處:Malware in Smart Factories: Top Security Threats to Manufacturing Environments 作者:Matsukawa Bakuei、Ryan Flores、Vladimir Kropotov 與 Fyodor Yarochkin (威脅分析師)