本文讲的是低水平黑客也可远程攻击工业电机并造成物理破坏,造成物理破坏的黑客攻击屈指可数。臭名昭著的震网蠕虫是世上首个,它对伊朗的核离心机造成了物理破坏。2014年,德国报告了第二次黑客行为造成物理破坏的记录,该事件导致钢铁厂的熔炉产生破坏。
这两次攻击都需要基于对目标的大量背景知识来发动。但研究人员近期已经发现了一种简单的方法,可以让技术水平比较低的黑客通过单次远程连接造成物理破坏,其中很多设备很容易通过互联网访问到。
风扇电机、供水厂水泵、采矿、供暖和空调系统中的电机都由变频驱动器控制,很容易遭到攻击。驱动器是一种电子设备,可以设置并保持电机维持在特定速度工作的电子频率。这些电机最后会控制水泵、岩石破碎系统和空气压缩设备。
雷德·威特曼(Reid Wightman)是 Digital Bond Labs 的安全研究人员,他发现,至少有四家变频驱动器的制造商都存在相同的漏洞:它们同时拥有读写能力,也没有配备验证系统,防止未授权人员接入设备并给电机写入新速度。此外,变频器会泄露关于电机最高安全运行速度的信息,这让黑客很容易确定电机的危险运行速度。
“所有变频器都有一个保护设置,它告诉人们该电机的危险速度。专业术语称之为‘临界速度’,超过这个数值,电机的中轴就会开始振动。”
威特曼在佛罗里达州迈阿密举行的 S4 大会上展示了研究成果,他表示,生产商在设备注册信息中特意加入了临界速度的信息,保证操作员清楚电机的最高速度。然而他表示,变频器会将该信息返回给发出查询请求的任何人。它们使用 Modbus 协议进行通讯,黑客只要向变频器的控制面板发送简单的查询请求,就可以获取这一关键信息。
“我想问的是,厂商为什么会将这项信息设定成可以通过网络协议写入。操作员怎么可能会需要更改这项设置?这又不是你在电机运行的时候可能会需要更改的东西。正确的情景应当是将电机卸下来,在它不运转的时候进行更改。有人觉得这是个好主意。”
让电机速度达到甚至超过临界速度会造成相当大的伤害。振动会破坏轴承和马达轴。“进行攻击很容易,而且查出电机破坏的真正原因非常麻烦。制造缺陷、运气不好都有可能是电机故障的原因。”
如果设施对电机的运行速度设置及更改情况进行日志记录,有可能查出问题的根源。但华盛顿大学圣路易斯分校对工业控制系统做的一份研究表明,关键基础设施和工业厂商很少设置广泛的日志记录。
威特曼提到存在问题的厂商是如下四家:施耐德电气、艾伦-布拉德利、ABB、伟肯。
“这四家供应商都存在完全相同的问题:关键的速度变量可以读写,因此变频器可以被调整到临界速度。”有讽刺意义的是,在震网病毒攻击伊朗核设施的事件中,伊朗方面使用的正是芬兰公司伟肯制造的变频器。当然,这些变频器比外特曼用作测试的电机频率要高得多,由于可被核设施应用,它们还受到出口管控。
威特曼在实验室里做测试用的是消费级的施耐德电气 Altivar 12变频器。他没有对其它产品进行物理测试,而只是通过阅读用户手册查看其功能,确定是否存在相同的漏洞。他检查了艾伦-布拉德利的 PowerFlex 700系列、ABB 的 ACS 500 和伟肯的 X4 系列。
他表示自己没有向厂商披露过此问题。
“他们能做什么呢?他们设计了这样的工作方式。他们特意让速度可读可写,还没有加入认证。他们知道自己在做什么。”