本文来自微信公众号:机器之能(ID:almosthuman2017),作者:吴昕,题图来自:视觉中国
两年前,挪威首都奥斯陆的一个晴朗的夜晚,哈尔沃·莫兰(Halvor Molland)正在熟睡,电话在凌晨3点左右响了起来。莫兰是全球最大铝制造商之一挪威海德鲁(Norsk Hydro)负责通讯事务的高级副总裁。
两小时前,公司电脑突然开始加密文件并集体离线,匈牙利分公司的一名工作人员意识到大事不妙。他按照预设的安保程序关闭整个公司网络,包括公司网站、电子邮件系统、工资单系统等,但为时已晚。
海德鲁 500 台服务器和 2,700 台个人电脑已经无法正常运转,员工电脑的屏幕上闪现着勒索留言,示意受害者电子邮件联系解密工具价格。
“我的感觉是:你真的不相信,”莫兰在最近的一次采访中回忆说。“当时决定将整个网络关闭,因为某种程度上已经没有什么可以隔离的了。”
攻击始于海德鲁位于美国的工厂。在肯塔基州和德克萨斯州,公司都有铝重熔设施,但位于宾夕法尼亚州克雷索纳的最大铝厂损失最为严重。这座工厂是美国政府在二战期间为生产武器用铝而建造的。
这家市值120亿美元、全球拥有约200家工厂的巨头供应中断可能会引发全球铝业恐慌,因为世界上只有少数公司能够提供符合戴姆勒和福特汽车公司要求的产品,他们的客户还包括特斯拉。
海德鲁位于美国宾州的克雷索纳工厂。
海德鲁并没有支付赎金。他们关闭了几条自动化生产线,并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“手动”模式。由于目前大部分勒索病毒加密后的文件都无法解密,海德鲁面临的艰巨任务之一是人工找到具体订单,并完成他们。
克雷索纳的临时作战室,利用传真、便签纸和旧电脑战胜了网络犯罪分子。
生产在大约一个月内恢复了正常。由于部分工厂停产数周,此次勒索软件攻击使公司损失9000万至1.1亿美元,这个数字远远超过保险单赔付的 360万美元。
这是挪威历史上最严重的网络攻击事件。讽刺的是,没人知道是谁攻击了海德鲁,虽然种种迹象指向了一个有组织的东欧网络犯罪集团,但他们仍逍遥法外。
一、暗流涌动
不过,莫兰和他的团队做了一件非比寻常的事情:他们向公众详细讲述了发生的事情,并发布了采访视频。
但这只是孤例。许多制造商都没有准备好与世界上最致命的恶意软件作斗争,即使遭受攻击,要么轻描淡写,要么讳莫如深。
袭击海德鲁的勒索软件 LockerGoga 是2019年1月新出现的病毒。造成海德鲁关闭网络之后仅仅几天,它又被发现疑似入侵另外两家美国化学公司瀚森(Hexion Inc.)和迈图(Momentive Performance Materials Inc.)。虽然迈图承认遭遇勒索攻击,公司不得不紧急更换数百台计算机,但瀚森公司没有披露任何袭击细节。
几乎在同一时期,遭遇勒索软件袭击的比利时飞机零部件制造巨头ASCO已经停产一个多星期,而且还没有结束的迹象。在公司努力恢复被恶意软件攻击冻结的关键系统的同时,近1000名员工被送回家休带薪假。
ASCO是世界上最重要的飞机零部件和零部件设计供应商之一。该公司的客户包括空客、波音、庞巴迪和洛克希德·马丁。与海德鲁不同,ASCO对此事件一直保持沉默。
与海德鲁不同,ASCO对此事件一直保持沉默。
制造商不断出现在勒索软件受害者清单中。德国自行车厂商Canyon 内部文件遭勒索加密,订单下达与交付被迫延迟;美国核武器承包商遭Maze勒索软件攻击,敏感数据被泄露;特斯拉、波音、SpaceX供应商Visser Precision拒付赎金,遭机密泄露。
最轰动的当属本田集团遭受SNAKE勒索团伙攻击,导致日本总部以外多国工厂生产停顿。与官方声明轻描淡写不同,外媒报道下的情况可谓惨烈:
“勒索软件已经传播到本田的整个网络,影响了本田的计算机服务器、电子邮件以及其他内网功能,目前本田正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。”
IBM 2020年发布的威胁情报称,第一季度,勒索软件攻击在所有行业增长了25%,但针对制造业的攻击增加了156%,是风险最高的行业。全球网络安全软件公司趋势科技(Trend Micro Incorporated)数据显示,2020年第三季度有150家制造企业牵涉勒索软件,多于任何其他行业。
咨询公司 Kivu Consulting 2019年的一份报告数据显示,尽管在2019年支付的赎金事件中,制造业占18%。但赎金数额非常可观,2019年支付了680万美元的勒索软件付款,占总赎金额的 62%,高于其他任何行业。
2021年3月,制造商霍尼韦尔(Honeywell)成为最新一家在网络攻击中受害的制造巨头。这一事件也再次提醒世人制造业所面临的威胁。
霍尼韦尔发言人斯科特·塞雷斯(Scott Sayres)在3月25日的一封电子邮件中表示,“恶意软件入侵”对“我们的生产造成的影响微乎其微”。他拒绝详细说明,也拒绝回答有关是否涉及勒索软件的问题。
据两名不愿透露姓名的霍尼韦尔员工透露,尽管霍尼韦尔在3月23日发表声明称公司已“恢复服务”,但数天后公司仍存在挥之不去的IT困难。这些技术问题已经逐渐得到解决,包括连接到该公司的虚拟专用网络和内部数据共享驱动器的困难。
今年3月,趋势科技委托独立研究专家Vanson Bourne对美国,德国和日本的500名IT和OT专业人员进行的调查结果显示,61%的制造商在其智能工厂经历过网络安全事件,75%的制造商因此遭受系统中断,其中43%持续了4天以上。
外媒CyberScoop曾要求采访十几家欧洲和美国的制造商,据报道,这些制造商在过去两年半的时间里因勒索软件事件而中断了生产。几乎所有公司要么拒绝置评,要么没有回应,要么表示截止发稿时无法联系到一位高管。
故事还在继续,每天都有新的受害者。著名工业网络安全公司 Dragos 预测明年制造业面临的威胁将继续增加。
二、为何青睐制造业?
制造业已经成为勒索软件匪帮的热门目标。一个很重要的原因是成本与收益的巨大反差,毕竟也是一门生意。
勒索软件作为一种勒索手段之所以能持续成功,部分原因在于它使用起来很容易。犯罪分子可以在暗网上购买和租赁各种勒索软件产品,然后通过钓鱼邮件和其他手段迅速、廉价地开始传播这些产品。
这些勒索软件即服务的功能包括24/7在线聊天,帮助获取比特币支付赎金,访问支付服务,以及帮助犯罪经销商监控其运营进度和利润的控制台。
低成本的另一边是收益非常可观。针对制造业的大多数攻击都是出于经济动机,包括钱和知识产权。生产商最忌讳生产线停工,面对业务中断、生产损失、难以交付产品和开票的困境,企业往往需要耗费大量资金才能重回正轨。高昂成本迫使企业迅速支付赎金以恢复业务。
但这还不包括难以计算的隐形损失。莫兰说,他并不后悔公开详细说明勒索软件给海德鲁他的公司带来多大的痛苦,因为,“它太大了,我们无论如何也掩盖不了。”
2020年12月,McAfee最新调查报告 The Hidden Costs of Cybercrime 指出,对于大多数组织来说,勒索攻击事件发生后,平均需要安排8个人、耗时19 小时对IT系统或服务进行恢复补救。这不仅增加了被攻击方的风险处理成本,还或因外部援助和风险保险等方面需求的激增,衍生出新的成本增长点。
比如,所谓新蓝领问题。瑞士制造商迈耶·托布勒(Meier Tobler)遭到勒索软件攻击,导致该公司直接成本超过500万美元,生产损失超过1060万美元。对于一些员工(尤其是物流部门),只能安排带薪休假;ASCO停产期间,近1000名员工被送回家休带薪假;海德鲁甚至新雇佣了大量劳动力。
长远来看,业务中断也通常会不同程度影响客户体验,波及企业及机构的品牌信任度和声誉。
一次数据泄露可能会使制造商损失数年的专有信息价值,并导致客户信任度的永久丧失。这也是为什么绝大多数制造业“肉票”会对恶意软件入侵守口如瓶。他们担心失去客户,或者承认自己为了恢复数据而付钱给了犯罪分子。
2020年6月,美国国际数据管理公司Veritas Technologies最新调查研究显示,44%的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。
另外,一些制造业公司活动延伸到多个垂直行业,这也使得它们成为对手攻击电力公用事业或制药等行业的跳板;作为全球供应链的一部分,制造商也日益受到来自地缘政治冲突性质的网络风险挑战。
可以预期,网络犯罪分子将继续使用勒索软件攻击包括制造业,在这些部门中,停机会给利润,股票价格,人命或政治声誉带来高昂成本。注意力从消费者转移到了更大更肥的鱼上:手头有钱,而且承受着迅速恢复的巨大压力的公司。
三、“肉票”为何破绽百出?
吊诡的是,“在网络安全方面,制造商很马虎。”人工智能平台 C3.ai CEO Thomas Siebel 曾直言不讳地说。
随着制造商向工业4.0过渡,面对网络威胁,他们比其他行业更准备不足。《华尔街日报》去年的一篇报告中指出,只有不到三分之二的制造商有网络安全项目,排名垫底。
此外,更大比例的制造业企业表示,它们不计划在未来12个月的任何时候在重要领域实施改进。例如,63%的制造商目前没有网络保险,37%的制造商在未来12个月内没有购买网络保险的计划。
网络安全培训也不在制造商来年的计划之内:22%的公司不打算实施员工培训,26%的公司表示不会进行高管培训。还有15%的人没有计划在明年识别出值得保护的关键数据。
《华尔街日报》网络安全在线研究中心在2019年12月至2020年3月期间对389家企业的受访者进行了调查。
调查结果显示制造业的安全防范得分基本垫底。
事实上,现代化大型制造工厂也非常困难。许多设施使用的遗留设备或工业物联网(IoT)设备,在最初设计时考虑了效率和合规问题,没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上,由于软件的年代久远,这些系统不再接受安全更新。
比如,许多食品工厂中,用于运行机器的硬件和软件多半是在1990年代和2000年代开发和实施的,尤其是食品加工和制造中常用的较旧的工业控制系统(ICS),这些旧系统的问题在于它们与当前的网络安全最佳实践不兼容,从而使其极易受到攻击。
如果制造商不让设备离线以更新安全,那么就有可能被勒索软件攻击,导致产线瘫痪,但系统脱机维护可能会导致高昂成本或者对操作造成破坏。
而且,由于制造商每种设施在IT基础架构,使用的系统和要保护的数据方面都是不同的,很复杂。也没有统一方法可以在一夜之间确保每个制造工厂的安全。
从认知层面来看,目前许多制造业管理层对网络安全的认识不足,不愿意将资源用于升级旧系统。当然,除了问题本身的负责和技术化,对人才的需求大于供给,也导致解决方案的昂贵。据估计,到2020年,全球安全专业人员缺口将高达200万人。由于工业企业通常支付的薪水要低得多,因此,高端人才不太可能去OT公司寻求职业发展。
尤其值得注意的是,从企业规模来看,尽管媒体报道主要关注大型制造商的网络攻击事件,但最常见的威胁来源是中小企业。由于小型企业通常没有财力或人力资源来进行强大的网络评估和风险量化流程,安全防范往往落后于大公司。
上述《华尔街日报》报告显示,在收入低于5000万美元的公司中,只有63%的公司有网络安全计划,而在收入超过10亿美元的公司中,有81%的公司有网络安全计划。令人担忧的是,15%的小公司没有实施网络安全计划。
问题在于,中小型企业缺乏网络安全防范可能会通过复杂供应链将风险传导给其他企业。他们自己首先成了那块最短的木桶板,可能被用作破坏客户网络的跳板,就像2013年攻击目标公司(Target Corp.)的事件一样,黑客通过一家暖通空调供应商进入了该公司网络。
2020年初,安全专家曾调查针对欧洲、英国太空与国防业的系列攻击活动时发现,攻击组织直接使用供应商与合作伙伴之间的合法远程连接或协作方案,绕过防护严密的边界防护,成功进入攻击目标的网络。
四、“绑匪”画像
在制造企业所遭受的勒索攻击中,有一点趋势是清楚的:制造业依靠工控系统(ICS)实现规模化、功能化,并确保一致的质量控制和产品安全,但针对工业控制系统的攻击越来越严重。
Dragos公司发现,过去两年工控系统成为了攻击者的重要目标,采用工控系统感知功能的勒索软件显著增加。
Ekans/Snake勒索软件和 “最强”工控恶意软件 Trisis 是两个比较突出的“绑匪”代表。
2020年6月,Ekans勒索软件针对本田的攻击,导致其暂停美国和土耳其汽车工厂、以及印度和南美洲摩托车工厂的生产。这款勒索软件旨在终止受害计算机上的64种不同软件进程,包括许多特定于工业控制系统的软件进程。
其中,针对拥有工业控制和SCADA系统组织的“目标运动”,这是前所未有的。它可以破坏用于监控基础设施的软件,例如石油公司的管道或工厂的机器人。这可能会带来潜在的危险后果,例如阻止员工远程监视或控制设备的运行。
除了本田汽车,Ekans 攻击目标已经覆盖了能源(巴林石油、ENEL能源)、医疗设备经销等多个工业行业,打击工业控制系统已成为其重要目的。
至于“最强”工控恶意软件 Trisis,是首款专门针对安全仪表系统(SIS)的恶意软件,也是首款能远程让民用基础设施进入不安全状态的恶意软件。
安全仪表系统作为硬件和软件控制系统,其主要作用是保护核、油气或制造等工厂的工业进程和设备。SIS 是工厂企业自动控制中的重要组成部分。目前全球有为数不多的几家公司在开发并管理 SIS 系统,包括但不限于艾默生(Emerson)、霍尼韦尔(Honeywell)和日本的横河电机(Yokogawa)。
Trisis包含的指令可能导致生产中断、或使 SIS 控制的机器在可能引发爆炸的不安全状态下工作,对人类操作者的生命造成了巨大的威胁。2017年12月,Trisis背后黑客组织 XENOTIME 利用施耐德 Triconex安全仪表控制系统零日漏洞,攻击中东一家石油天然气工厂,差点造成工厂爆炸。
Dragos目前公开跟踪了五个以制造业为攻击目标的组织:CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME,以前或目前都试图利用远程访问技术或登录基础设施。不难发现,能源网络特别容易受到网络攻击。
作为最早将机器人集成到装配线的行业之一,制造业也将先进的自动化纳入到行业中。特别是金属和采矿业,技术和自动化是关键点。海德鲁公司于2015年投资于自动化超声波检测系统,以精确扫描产品杂质,满足运输行业客户的严格需求。如果没有自动认证,汽车制造商将无法使用这些零部件。
然而,无论是联网机器人、移动机器人、监控和数据采集(SCADA)系统甚至AI集成,虽然带了了极大的效率提升,如果没有在前端嵌入网络安全,这些都可能增加制造业的高级网络风险。
许多新型连接设备已引入企业网络,但物联网设备的嵌入式操作系统并不是为轻松修补而设计的,这会造成普遍的网络风险问题。
受新冠疫情大流行和全球数字化进程加快的驱动,数以百万计远程办公场景的快速激增一定程度上因网络开放度的提升和接口的增多,无形之中,又给勒索病毒造就了新的攻击面。
制造企业的数字化转型,导致工控系统成为了攻击者的重要目标。2019年卡巴斯基的一份报告数据显示,易受攻击产品数量最大的领域是工业控制系统。对于那些高度依赖计算机系统开展生产、自动化、质量保证、监控和安全的制造活动,勒索软件具有巨大破坏性。
五、工业4.0第一要务是安全
长期以来,制造业一直是全球经济的基础部分,也是技术创新的领导者。在工业4.0为主导的世界中,制造商越来越多地采用机器人技术,人工智能,机器学习和高级分析。
在考虑工业4.0的当前和未来观点时,人们的注意力需要逐渐转向“连接一切”的未来意味着什么。
除了轰轰烈烈的数据讨论,安全也是在工业4.0过程中一个挥之不去的重要课题。对旧系统进行新工 业4.0应用改造可能增加安全风险, 旧系统并不适用于此种方式的连接。
与此同时,高度互联的系统和供应链在产生巨大收益同时,企业也无法全面了解其风险暴露面和攻击面的问题,尤其是在涉及其他互相连接系统、网络和供应链之时。
在工业4.0的规划过程中,解决安全问题不是后续任务, 而是第一要务。
如今,Norsk Hydro正在开发一种AI工具,以检测黑客试图访问其工业设备的过程。该工具会寻找可能暗示黑客入侵的异常活动,例如设备上频繁更改密码。然后,它将向Norsk Hydro的网络安全团队触发警报。
事实证明,机器学习和人工智能在这一特定方面是有用的新技术,使端点防御在识别和响应新的勒索软件变体时更加敏捷和自适应。
自2015年以来,制造业一直是受网络安全攻击最严重的五个行业之一。未来,制造业只会变得越来越重要。面对失去的赎金、丢失的数据甚至知识产权和各种巨大风险,再“龟毛的”制造商也不得不在妥协中推动第一要务的落地。
参考链接:
https://www.wsj.com/articles/the-industries-most-vulnerable-to-cyberattacksand-why-11592786160?mod=searchresults&page=1&pos=15
https://www.mimecast.com/blog/why-manufacturers-are-under-prepared-for-cyber-resilience/
https://www.cyberscoop.com/honeywell-hack-ransomware-manufacturing-norsk-hydro/https://resources.trendmicro.com/Industrial-Cybersecurity-WP.html
本文来自微信公众号:机器之能(ID:almosthuman2017),作者:吴昕