2021年2月5日,駭客攻擊了美國佛羅里達州奧爾德斯瑪市的淨水廠設施,將水中的氫氧化鈉濃度從百萬分之100調高111倍。儘管美國執法部門開始著手調查,但攻擊者的身份與動機依然未知。
攻擊者利用淨水廠日常作業所使用的TeamViewer 漏洞來存取工廠的控制系統,並更改淨水廠控制系統相關參數至超標數值,然後再手動將設置恢復為正常,幸運的是,監視工廠控制台的操作人員注意到這個異常的設定更改活動,並緊急處置與進行修正,因而未對成千上萬的奧爾茲瑪居民造成嚴重影響。
事實上,伊朗政府在去年資助一個針對以色列的攻擊組織以同樣的方式操作了以色列的水處理系統,利用以色列水利設施所使用的遠端存取軟體進行滲透,並駭入了控制設備的HMI管理主機來操控化學參數。
這兩次攻擊都試圖篡改水處理設施,藉此產生含有過量化學物質的飲用水。 這些化學物質通常透過微量使用來減少水中病原體、礦物質或其他污染物,但若是過量存在水中則會造成非常嚴重的危害。
而這兩次襲擊均針對資安防護可能不足的小型水務公司下手。
水資源部門的網路安全事件
根據ICS-CERT的調查,水和廢水部門(Water and Wastewater Sector, WSS)是關鍵生命線基礎(Critical Lifeline Infrastructure)設施中第三大針對性最強的部門。總體上,無論是水資源部門或是其他關鍵基礎設施部門的控制設備都逐漸轉換為透過網路來連接各種基礎設施的系統架構,如此雖可提高營運效率,甚至是進行遠端維護和運營。但是,也連帶帶來了網路威脅的風險。
儘管最近幾年許多攻擊尚未公開,但確實仍有一些新聞:
- 在2018年,工控威脅偵測資安廠商Radiflow在他們的水利基礎設施客戶之一的OT網路中發現了加密挖礦惡意軟體。
- 其他水資源設施也遭受了勒索軟體的攻擊,包括北卡羅來納州傑克遜維爾的ONWASA和科羅拉多州水域的柯林斯堡-洛夫蘭堡。
好消息是,各國政府組織越來越意識到保護這些對國家至關重要的關鍵基礎設施的必要性。像是實施網路安全風險管理的範圍和持續的OT安全監控,以及水和廢水設施的管理法規和標準的出現:
- 在美國,需要為超過3,300人提供服務的社區(飲用水)供水系統來開發或更新其風險評估和應急計劃,包括與網絡安全有關的計劃。
- 在英國,NCSC已開發了網路評估框架,該框架為重要的服務組織提供了網路安全指導。
- 在法國,與水行業相關的敏感基礎設施資產被歸類為至關重要的營運商。因此,它們受到法國國家網路安全局(ANSSI)的密切監視。
- 歐盟的NIS指令於2016年首次起草,並於2018年底由歐盟成員轉變為當地法律,它為保護包括水和廢水在內的國家必不可少的服務提供了全面的工具包。
見解和建議
此次美國佛州淨水廠資安事件的起因在於使用了含有漏洞的遠端存取工具TeamViewer以及老舊已無更新維護的Windows 7作業系統所致,在如此重要的國家關鍵基礎設施採用如此容易遭受滲透的工具來進行維護作業,是非常嚴重的錯誤。
對於這類國家關鍵基礎設施的工控網路環境,往往因為技術因素而遷就老舊的系統與危險的作法,例如:
- 沒有將內部工控網路(OT Network)與外部辦公網路(IT Network)進行隔離
一旦將內部工控網路與外部辦公網路隔離,許多網路應用便無法正常運作。數位資安建議 透過單向網路傳輸系統 (Uni-directional Secure Gateway, USG)來進行資料交換,如此既可達到網路應用資料交換的目的,亦可保障內部工控網路不會受到外部網路攻擊威脅。
- 無法定期進行作業系統安全更新與資安防護軟體的更新
工控網路內的許多作業系統仍需進行安全更新,但因資料交換不便,因此往往省略了這個部分,導致許多工控網路內部仍在使用數十年前的作業系統,而這個部分正好是最容易被 駭客利用來攻擊滲透的一環,藉由單向網路傳輸系統的單向更新服務(Windows Update & Software Update),可同時達到資料更新的目的並保障內部工控網路的安全。
- 因維運需求而直接開放遠端連線存取工控網路
為了日常維運需求或是處理問題排除等作業,鋌而走險的開放對外網路或是使用潛藏風險的遠端連線軟體,對於至關重要的關鍵基礎設施相當的危險,利用單向網路傳輸系統所提 供的遠端桌面檢視(Remote Screen View, RSV)功能,能夠讓位於外部辦公網路的維運廠商提供遠端協助,同時保障不受外部網路攻擊威脅入侵。
另外,工控網路的可見性(Visibility)和威脅偵測(Threat Detection)能力也是任何公共事業整體網路安全策略不可或缺的一部分,提升此部分的資安偵測能力亦可滿足法規遵從(Compliance)的要求。
數位資安對於關鍵基礎設施(CI)以及工控網路(OT)提供全面的資安防護方案,歡迎與我們聯絡以了解更詳細的資安防護建議。
www.iSecurity.com.tw | (02) 7702-1088 | 數位資安系統股份有限公司