在全球市場經(jīng)濟競爭激烈的今天，依賴自然資源的經(jīng)濟發(fā)展和地緣政治波動，促使各項工業(yè)行業(yè)成為網(wǎng)絡間諜活動的目標，由于采礦行業(yè)處于全球供應鏈中的關(guān)鍵戰(zhàn)略地位，當前，該行業(yè)正面臨越來越多的網(wǎng)絡威脅。

??

[[169101]]

本文通過研究現(xiàn)代采礦業(yè)的運營模式，調(diào)查與采礦行業(yè)相關(guān)的網(wǎng)絡間諜攻擊活動，了解采礦行業(yè)面臨的信息安全威脅，并提出綜合防御建議。

1 工控行業(yè)面臨的網(wǎng)絡攻擊

1.1 針對不同工業(yè)領(lǐng)域的網(wǎng)絡攻擊

像每天數(shù)據(jù)泄露事件的新聞一樣，針對不同工業(yè)行業(yè)的網(wǎng)絡攻擊事件變得越來越普遍。APT攻擊如BlackEnergy，已經(jīng)由原本單純的工業(yè)間諜活動發(fā)展為使工業(yè)資產(chǎn)造成破壞的物理攻擊。而據(jù)分析，BlackEnergy和Sandworm APT攻擊很可能是造成烏克蘭兩個電站在2015年12月發(fā)生斷電的原因。BlackEnergy和惡意軟件Killdisk還被發(fā)現(xiàn)曾試圖對烏克蘭一家礦業(yè)公司和大型鐵路運營商發(fā)起網(wǎng)絡攻擊。下圖為BlackEnergy 攻擊從能源領(lǐng)域向其它行業(yè)的威脅演變。

??

圖1 BlackEnergy 攻擊的威脅演變

BlackEnergy 案例表明APT攻擊不僅能滲透到組織內(nèi)部還能像武器一樣造成資產(chǎn)損失。

由于風險存在于各工控行業(yè)的整體供應鏈過程，包括：原材料采集、制造和生產(chǎn)、物流、庫存、配送等，網(wǎng)絡攻擊對供應鏈的任何環(huán)節(jié)都會造成資產(chǎn)和經(jīng)濟損失。如今，武器化的APT攻擊是不容忽視的。

回首發(fā)生過的網(wǎng)絡間諜攻擊活動，無一不是在黑客、國家支持攻擊者、商業(yè)競爭對手和犯罪組織之間的利益交錯行為。這些網(wǎng)絡攻擊活動目標涉及各種行業(yè)，包括數(shù)據(jù)情報竊取(Red October)、能源設施硬盤刪除(Shamoon)、核設施破壞(Stuxnet)到最近的發(fā)電設施破壞(BlackEnergy)。

1.2 為什么工業(yè)行業(yè)容易受到網(wǎng)絡攻擊?

高度集中化的操作模式是不同工業(yè)行業(yè)中的薄弱隱患之一。操作技術(shù)(OT)通過硬件或軟件檢測或直接監(jiān)測/控制物理設備、過程和事件變化。在全球經(jīng)濟競爭激烈的今天，OT或IT行業(yè)的生產(chǎn)控制、關(guān)鍵資產(chǎn)管理、物流等過程的高度整合和智能化，是組織機構(gòu)需要的最佳供應鏈管理模式。

OT和IT兩部分技術(shù)部件的整合，成為了網(wǎng)絡犯罪分子的主要目標。在很多組織機構(gòu)中，安全防護不夠的OT基礎設施是最易受網(wǎng)絡攻擊的部分，而且它們的IT解決方案根本不能適應控制系統(tǒng)，如SCADA。除此之外，一些新興技術(shù)，如云計算、大數(shù)據(jù)分析、物聯(lián)網(wǎng)使今天的組織機構(gòu)面臨更多更復雜的安全挑戰(zhàn)。簡單地說，工控行業(yè)集中化給網(wǎng)絡生態(tài)系統(tǒng)引入了全新和未知的漏洞。

2 采礦行業(yè)

2.1 現(xiàn)代采礦作業(yè)

采礦作業(yè)包括兩個主要活動：礦石開采、礦物加工(從礦石中提升和回收金屬和礦物)

2.2 開發(fā)礦山

識別和開發(fā)礦山是一個漫長而昂貴的過程，涉及勘探、發(fā)現(xiàn)、可行性研究和建設。下面概念圖顯示了礦山從開發(fā)到報廢所有階段的價值鏈過程：

??

2.3 礦業(yè)自動化

今天，礦山安全、健康立法、技術(shù)進步和培訓減少了采礦死亡和受傷的風險。自動化是提高礦井安全性的關(guān)鍵因素，它取代了危險、重復和勞動密集型任務。而對采礦自動設備和工藝發(fā)起的網(wǎng)絡攻擊將會對礦業(yè)安全造成威脅。

礦山自動化設備如全球定位系統(tǒng)(GPS)、遙感、無線通信、和高速電信通訊等。例如：

??

??

[[169102]]

??

??

2.4 礦業(yè)經(jīng)濟因素

礦業(yè)經(jīng)濟是影響國家經(jīng)濟的一個關(guān)鍵因素，當然，隨之而來的也可能有網(wǎng)絡攻擊。下圖顯示了部分國家對國民經(jīng)濟占有重要地位的主要出口項目，其中礦業(yè)行業(yè)為出口支柱行業(yè)。

??

3 針對采礦行業(yè)的網(wǎng)絡攻擊威脅

3.1 為什么采礦行業(yè)會成為網(wǎng)絡攻擊的目標?

原因1 獲取有競爭優(yōu)勢的最新技術(shù)知識和情報

針對采礦行業(yè)的網(wǎng)絡間諜活動主要是為了確保利益集團獲得最新的技術(shù)知識和情報，使他們能夠保持競爭優(yōu)勢，并在全球大宗商品交易市場中蓬勃發(fā)展。

(1) 對金屬和礦產(chǎn)的定價數(shù)據(jù)是網(wǎng)絡間諜活動針對礦業(yè)行業(yè)的竊取目標之一。如果對手擁有礦業(yè)內(nèi)幕定價數(shù)據(jù)信息就可以在高價競爭中操縱市場交易，或與買方協(xié)商更好的收購價格，或是改變收購條款等等 。另外，礦業(yè)客戶信息數(shù)據(jù)也是網(wǎng)絡攻擊的一個重要目標，競爭對手可以利用被盜的客戶信息來操縱未來的礦業(yè)交易。

(2) 知識產(chǎn)權(quán)(IP)如生產(chǎn)方法、選礦方法、化工方式、定制軟件等，也是網(wǎng)絡犯罪分子有利可圖的目標。知識產(chǎn)權(quán)盜竊可以大大降低研究開發(fā)成本，一個新的地雷。國家級網(wǎng)絡間諜活動通常針對知識產(chǎn)權(quán)的竊取，之后，他們可以將這些技術(shù)知識轉(zhuǎn)移應用到其國家采礦行業(yè)中。

(3) 當前，礦業(yè)行業(yè)的國家級別網(wǎng)絡間諜活動越來越對治理方法、決策、企業(yè)高管政策制定過程等感興趣，這是因為良好的決策和治理方法是任何采礦作業(yè)成功的關(guān)鍵，這些有用的決策和方法可以很好地應用到他國的采礦行業(yè)中。

(4) 地質(zhì)學家在勘探階段分析確認新礦床產(chǎn)生的大數(shù)據(jù)集是非常昂貴的，這是礦業(yè)公司持續(xù)增長和成功的關(guān)鍵，當然，這也是網(wǎng)絡間諜活動的目標之一。

(5) 在合并或收購業(yè)務中，礦石儲量和生產(chǎn)數(shù)據(jù)是網(wǎng)絡間諜活動的主要目標，這些內(nèi)幕信息是降低收購價值和成功競標的關(guān)鍵。采礦業(yè)正朝著普遍、超大型、高噸位和超機械化的方向發(fā)展。這使得小規(guī)模的采礦業(yè)務在經(jīng)濟上不可行導致倒閉、兼并和收購。礦山價值的根本來源是其潛在的礦產(chǎn)儲量。

(6)煤礦監(jiān)控系統(tǒng)用于生產(chǎn)監(jiān)控、設備狀態(tài)監(jiān)測、安全和環(huán)境監(jiān)測。有統(tǒng)一的報告應用程序來整理、處理和顯示來自不同煤礦監(jiān)控系統(tǒng)的信息。從每個監(jiān)控系統(tǒng)接收到的數(shù)據(jù)被反饋到一個中央數(shù)據(jù)庫作進一步處理和顯示，這些報告數(shù)據(jù)庫是網(wǎng)絡罪犯有價值的間諜活動的目標，因為他們提供了采礦作業(yè)的實時狀態(tài)更新。

原因2 網(wǎng)絡攻擊可以削弱一個國家的經(jīng)濟發(fā)展

網(wǎng)絡攻擊活動可用于實施精心策劃的戰(zhàn)略或報復打擊別國關(guān)鍵經(jīng)濟體：

(1) 高成本和長周期的采礦作業(yè)會導致技術(shù)革新率較低，標準和設備升級被視為不必要的生產(chǎn)活動，這也意味著采礦作業(yè)使用的設備和通信協(xié)議容易受到網(wǎng)絡攻擊。

(2)由網(wǎng)絡攻擊或其它原因造成采礦作業(yè)鏈主要設施(電力、水、柴油機和空氣壓縮機)的中斷或破壞，將會使采礦作業(yè)癱瘓。電力、水、柴油機和空氣壓縮是采礦作業(yè)鏈中的四種重要設備。

(3)自動化是取代危險、重復和密集型任務并提高礦井安全性的關(guān)鍵因素。針對自動化采礦設備和過程的網(wǎng)絡攻擊將會對安全作業(yè)形成威脅。

(4)由網(wǎng)絡攻擊引起的任何對采礦自動化設備的干擾和影響，可能導致采礦作業(yè)癱瘓，并造成設備毀壞和經(jīng)濟損失。

(5)礦物加工過程是由ICS系統(tǒng)進行自動和半自動化控制，實現(xiàn)礦產(chǎn)量最大化的操作步驟，所以礦物加工設備由于ICS的安全風險也容易受到網(wǎng)絡攻擊。

(6) 采礦綜合控制中心ROC作為現(xiàn)代采礦作業(yè)的神經(jīng)中樞，ROC單點故障可以導致整個采礦作業(yè)癱瘓，所以，針對ROC的破壞/毀壞也是網(wǎng)絡犯罪分子的目標。

(7)第三方供應商和承包商缺少正規(guī)的安全防護策略，但卻在日常采礦作業(yè)中發(fā)揮著重要作用，所以這也是導致網(wǎng)絡攻擊的潛在途徑。

原因3 傳統(tǒng)的數(shù)據(jù)竊取，如個人身份信息、財務數(shù)據(jù)和密碼憑據(jù)等

礦業(yè)公司也正遭受數(shù)據(jù)泄露威脅，涉及到所有類型的大小企業(yè)。大部分數(shù)據(jù)泄露事件的目的是竊取個人身份信息(PII)、財務數(shù)據(jù)和密碼憑據(jù)等。

(1)個人身份信息(PII)可用于提交身份欺詐、虛假納稅申報、申請貸款或信用卡、注冊虛假賬戶、出售給營銷公司，或發(fā)起垃圾郵件和網(wǎng)絡釣魚攻擊。

(2) 財務數(shù)據(jù)可以用來制作偽造的信用卡、支付賬單，進行網(wǎng)上欺詐交易，從受害者銀行賬戶轉(zhuǎn)移資產(chǎn)。

(3) 密碼憑據(jù)可用于竊取個人信息、開展間諜活動，或發(fā)起垃圾郵件和網(wǎng)絡釣魚攻擊。

(4)在報復性攻擊或黑客主義行為中，盜取數(shù)據(jù)也被用來脅迫受害者勒索贖金。

原因4 礦山造成的環(huán)境污染

一些環(huán)保活動人士聲稱礦業(yè)公司對環(huán)境、野生動物棲息地和其它方面造成破壞和影響，出于這樣的擔憂，他們可能會采取針對礦業(yè)公司的報復行為。

3.2 針對采礦行業(yè)的網(wǎng)絡威脅類型?

(1)國家級別的網(wǎng)絡間諜活動

網(wǎng)絡間諜活動越來越成為國家間獲取情報的主要手段。發(fā)達國家的網(wǎng)絡設備以其復雜、隱身和不易察覺的方式在機構(gòu)組織內(nèi)部收集傳輸數(shù)據(jù);發(fā)展中國家正在使用網(wǎng)絡間諜活動作為一種快速和經(jīng)濟的方式，來增加情報收集能力。

(2)有組織網(wǎng)絡犯罪組織

網(wǎng)絡犯罪組織的入侵可分為兩類:第一類是由犯罪團伙竊取出售敏感信息和加密文件并要求贖金，或取得電腦控制權(quán)限變成僵尸網(wǎng)絡等;第二類是政府雇傭網(wǎng)絡犯罪團伙進行間諜活動，或?qū)嵤╅_展政治破壞和毀壞類的網(wǎng)絡攻擊，在被發(fā)現(xiàn)之后，可以保持否認立場。出于利益原因，這兩類犯罪方式也可能出現(xiàn)交叉。

(3)競爭對手

競爭對手互相從事間諜活動，可以追溯到商品貿(mào)易的起源時期。競爭對手有興趣的信息包括知識產(chǎn)權(quán)、生產(chǎn)方法、生產(chǎn)能力、定價信息、客戶信息等。在極端情況下，為獲得更強大的市場立足點，競爭對手可能會發(fā)起破壞或毀壞性的網(wǎng)絡攻擊。

(4)黑客主義活動者

黑客主義活動者攻擊網(wǎng)絡資產(chǎn)，以達到相關(guān)的政治妥協(xié)，通常他們會選擇高知名度或受關(guān)注的目標，但往往他們的攻擊目標和攻擊原因極不匹配，采礦、石油和天然氣公司經(jīng)常淪為他們抗議環(huán)境影響、棲息地破壞、企業(yè)貪婪和其它關(guān)切問題的目標。

3.3 礦業(yè)公司是如何遭到入侵的?

(1)網(wǎng)絡釣魚和社工技術(shù)攻擊

選擇特定目標，通過郵件釣魚配合社工技術(shù)是最有效的針對性攻擊。ICS安全咨詢商Digital Bond進行了一項實驗:向不同公司的主要ICS系統(tǒng)人員發(fā)出了有嵌入式鏈接的魚叉式網(wǎng)絡釣魚郵件，然后，通過開源情報系統(tǒng)識別上鉤目標，其中有25%的接收者通過點擊釣魚郵件鏈接而成為受害者，這些受害者中包括：ICS系統(tǒng)主管、自動化技師、設備診斷工、儀表技術(shù)員等。

(2) 漏洞利用

每個月軟件供應商都會對新的軟件漏洞進行披露和修補，只有極少數(shù)的漏洞會成為“武器化”工具，一旦這些漏洞被“武器化”，它們將被多年用于網(wǎng)絡攻擊中，如CVE -2008-4841、CVE -2010-3333 CVE-2012-0158和CVE-2010-2568等，系統(tǒng)補丁不適配或操作系統(tǒng)不支持都可能導致被這些漏洞利用工具成功入侵。

(3)水坑攻擊

攻擊者通過感染目標用戶經(jīng)常訪問的網(wǎng)站，實現(xiàn)對特定目標和網(wǎng)絡的入侵控制。

(4)惡意廣告攻擊

惡意廣告攻擊是通過網(wǎng)絡廣告在線傳播惡意軟件，惡意廣告攻擊包括向合法在線廣告注入或裝載惡意軟件實現(xiàn)傳播攻擊。

(5)針對第三方供應商和承包商的攻擊

攻擊者通過成功入侵承包商和第三方供應商，并利用他們作為后門進入有針對性的企業(yè)網(wǎng)絡。美國零售商塔吉特(Target)曾在2013年11月淪為史上信用卡數(shù)據(jù)泄露事件的受害者，經(jīng)過后期調(diào)查發(fā)現(xiàn)，網(wǎng)絡犯罪分子通過入侵了Target的第三方供應商HVAC而成功地進入Target網(wǎng)絡實施了數(shù)據(jù)竊取。第三方供應商和承包商是產(chǎn)業(yè)供應鏈中的關(guān)鍵節(jié)點，其信息安全問題也應備受關(guān)注。

(6) 中間人(MitM)攻擊

中間人攻擊涉及在兩個中繼通信系統(tǒng)/終端/實體之間的數(shù)據(jù)攔截、改變和傳輸。攻擊者通過攔截兩個受害者之間的所有相關(guān)消息，或者改變消息或注入新消息。這在很多情況下是非常容易實現(xiàn)的，例如在一個未加密的無線接入點接收范圍內(nèi)，攻擊者可以將自己作為中間人。MITM攻擊目的是規(guī)避或相互認證直接與終端進行連接。

(7)感染設備攻擊

設備制造商的新設備里預裝了惡意軟件，雖然這聽起來不太可能，但最近的例子如聯(lián)想公司的出貨筆記本電腦預裝了惡意軟件。我們也和不同礦業(yè)公司的IT安全專家對設備預裝惡意軟件情況，如Stuxnet事件等進行了多次討論，他們表示非常擔心。

(8)內(nèi)部工作人員威脅

內(nèi)部工作人員是最難的攻擊向量，因為它需要通過組織信任以實施權(quán)限濫用。一些不滿、失望或急需用錢的員工可能采取這類措施對企業(yè)進行攻擊。

3.4 針對采礦行業(yè)的著名網(wǎng)絡攻擊案例

針對采礦行業(yè)的網(wǎng)絡攻擊，比針對其他行業(yè)如醫(yī)院、銀行的網(wǎng)絡攻擊所獲得的關(guān)注度較高，下表為2010年到現(xiàn)在，針對采礦行業(yè)的網(wǎng)絡攻擊案例，這些攻擊確實發(fā)生過，并帶來重大影響。

??

??

??

3.5 對工業(yè)行業(yè)造成威脅的惡意軟件

通過安全研究，我們收集了能源、制造業(yè)、石油和天然氣三個工業(yè)行業(yè)2015年的日常網(wǎng)絡攻擊數(shù)據(jù)，總結(jié)了其中有惡意軟件分類，收集的數(shù)據(jù)可能無法準確地代表所有威脅，但仍表現(xiàn)了一種總體趨勢：

??

其中，ADW_OPENCANDY 是三個工業(yè)行業(yè)中被檢測到的最大威脅;MAL_OTORUN、MAL_HIFRM、 CRCK_KEYGEN是在三個工業(yè)行業(yè)中的主要感染源;惡意廣告軟件感染分布于三個工業(yè)行業(yè)。

3.6 ICS:采礦行業(yè)的安全薄弱點

采礦ICS系統(tǒng)

SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端單元(RTU)，簡易爆炸裝置(IED)，執(zhí)行器和傳感器被廣泛用于自動化的采礦和選礦設備中。采礦自動化的例子是：

(1)卡車上進行挖礦和碎礦設備的自主牽引系統(tǒng)。

(2) 控制礦區(qū)自主車輛的指揮控制系統(tǒng)(C2)

(3) 礦區(qū)內(nèi)避免碰撞系統(tǒng)和區(qū)域限定系統(tǒng)

(4) 危險環(huán)境中執(zhí)行挖掘任務的遠程控制系統(tǒng)(遠程操作推土機和挖掘機)

(5)控制不同采礦流程的過程知識系統(tǒng)(PKS)

(6)礦業(yè)公司對環(huán)境、巖土工程和振動的監(jiān)測系統(tǒng)，對斜面運動、挖掘、隧道和相鄰的結(jié)構(gòu)的傳感系統(tǒng)。

(7)安裝在輸送帶上的激光誘導和實時分析系統(tǒng)(LIBS)。

(8) 水平、定位、體積、壓力和流量測量使用的(有線或無線)聲納，電磁，雷達和振動傳感器

(9)用于地下開采的自動化系統(tǒng)，如巖爆災害遠程評估系統(tǒng)、電液控制系統(tǒng)等

(10)自動鉆井設備中振動、慣性、地震和傾斜等技術(shù)傳感器

(11)輸送帶監(jiān)控系統(tǒng)。

暴露在互聯(lián)網(wǎng)上的ICS設備

我們通過SHODAN，對暴露在互聯(lián)網(wǎng)上的HMI控制系統(tǒng)和ICS系統(tǒng)進行了搜索，這些暴露在互聯(lián)網(wǎng)上的設備系統(tǒng)很容易受到攻擊入侵。

??

上圖顯示為暴露HMI系統(tǒng)：二氧化碳(CO2)傳感器、水泵、銑床、堆肥池，水處理廠和一條輸送帶。

我們還利用GeoIP配合SHODAN的搜索數(shù)據(jù)在GOOGLEearth標注了HMI和ICS系統(tǒng)的地理位置，下圖中黃色方塊代表礦山區(qū)域，紅色引腳代表暴露的ICS設備，綠色方框代表主要的人口中心，如城市或大城鎮(zhèn)。

??

??

??

??

從谷歌地球上我們得出了以下的結(jié)論：

絕大多數(shù)的礦山位于偏遠的地方，很少有暴露的ICS設備在他們的附近

大多數(shù)暴露的ICS設備位于大城鎮(zhèn)和城市的人口中心

現(xiàn)代礦山是高度自動化的，他們的ICS設備控制中心通常位于遠離采礦地點數(shù)百或數(shù)千公里以外的人口中心。通過控制中心的HMI系統(tǒng)遠程控制礦區(qū)ICS設備，如果這些礦區(qū)ICS設備暴露在互聯(lián)網(wǎng)上，就會危及采礦安全

美國的截圖是有點難以辨認，因為許多人口中心分散在美國各地。仔細檢查，我們發(fā)現(xiàn)，美國的數(shù)據(jù)也遵循預期的趨勢：大多數(shù)的礦山位于偏遠地區(qū)，很少有ICS設備暴露在礦山附近

存在一個很高的概率性，一些非ICS設備暴露在礦區(qū)附近，這些設備可能礦區(qū)的服務器、臺式機、移動設備等，它們會成為數(shù)據(jù)竊取的目標，或是入侵企業(yè)內(nèi)網(wǎng)的切入點

4 安全防護建議

根據(jù)我們的研究結(jié)果結(jié)合采礦行業(yè)的網(wǎng)絡攻擊威脅，我們提出了采礦行業(yè)公司最低安全配置的強制性安全策略：

(1)網(wǎng)絡分段。將網(wǎng)絡劃分為不同的安全區(qū)域，并實現(xiàn)關(guān)鍵部分的保護隔離。Purdue模型是劃分ICS網(wǎng)絡的最好指南;

(2)補丁管理。及時掌握、評估和識別漏洞信息，及時修復系統(tǒng)或應用軟件補丁，達到堵塞漏洞，消除隱患;

(3)訪問控制。這是廣義的問題，涵蓋了所有方面的可控制訪問網(wǎng)絡、關(guān)鍵資產(chǎn)、設備或服務，根據(jù)準確定義分類 who/what權(quán)限 ;

(4)入侵檢測。所有的系統(tǒng)都需要一些監(jiān)控系統(tǒng)活動的方法，并在網(wǎng)絡中識別潛在的惡意事件。沒有入侵檢測系統(tǒng)，一個輕微的安全問題可能會成為關(guān)鍵安全事件;

(5)事件規(guī)劃和響應。一個全面的網(wǎng)絡事件響應計劃應包括一些積極主動和響應緩解的措施。積極的響應措施可以幫助企業(yè)應對、檢測和管理安全事件的發(fā)生。