近年来，随着互联网在工业控制系统中的广泛应用，针对工业控制系统的各种网络攻击事件日益增多。本文为大家汇总了近年来典型工控网络安全事件，让大家充分了解工业控制系统所面临的安全威胁，认识到工控网络安全的重要性。

01 U盘传播的震网病毒 破坏了伊朗的核计划

时间：

2010年

地点：

伊朗

事件回顾：

2010年，震网病毒感染了全球超过20万台电脑，摧毁了伊朗浓缩铀工厂五分之一的离心机。

事件分析：

震网病毒是一种首次发现于2010年的恶性蠕虫电脑病毒，攻击的目标是工业上使用的可编程逻辑控制器（PLC）。震网病毒的感染途经是通过U盘传播，然后修改PLC控制软件代码，使PLC向用于分离浓缩铀的离心机发出错误的命令。

与其他的恶性病毒不同，震网病毒看起来对普通的电脑和网络似乎没有什么危害。震网病毒只会感染Windows操作系统，然后在电脑上搜索一种西门子公司的PLC控制软件。如果震网病毒在电脑上发现了PLC控制软件，就会进一步感染PLC软件。随后，震网病毒会周期性的修改PLC工作频率，造成PLC控制的离心机的旋转速度突然升高和降低，导致高速旋转的离心机发生异常震动和应力畸变，最终破坏离心机。

震网病毒的目标是伊朗的核工厂，位于纳坦兹的浓缩铀工厂需要大量的离心机来分离铀235和铀238，因此也广泛使用了西门子公司的PLC及控制软件。在2009年11月到2010年1月之间，震网病毒就摧毁了伊朗1000多台离心机。在震网病毒的肆虐下，伊朗纳坦兹的核工厂里可用的离心机数量从4700台降低到3000多台。到2010年，核工厂仍然因为技术问题多次停工，工厂的浓缩铀分离能力比去年下降了30%。

时间：

2014年

地点：

欧洲

事件回顾：

欧洲SCADA系统遭到Havex病毒恶意袭击

事件分析：

在2014年时，安全研究人员发现了一种新的类似震网病毒的恶意软件，并将其命名为：Havex。据称，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。

安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A，F-Secure称它是一种通用的远程访问木马(RAT,即remoteaccessTrojan)，近来被用于从事工业间谍活动，主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。要做到这点，除了诸如利用工具包和垃圾邮件等传统感染方式外，网络罪犯们还会使用另一种有效的方法传播Havex，例如：渗透目标软件公司的Web站点，并等待目标安装那些合法APP的感染木马的版本。在安装过程中，该木马软件释放一个叫做"mbcheck.dll"的文件，这个文件实际上就是攻击者用作后门的Havex恶意代码。

时间：

2015年

地点：

乌克兰

事件回顾：

2016年初，据英国《金融时报》报道，乌克兰电网系统遭黑客攻击，数百户家庭供电被迫中断，这是有史以来首次导致停电的网络攻击。

事件分析：

据网络间谍情报负责人表示，本次攻击来自俄罗斯黑客组织，使用的恶意软件被称为BlackEnergy（黑暗力量）。

Black Energy（黑暗力量）最早可以追溯到2007年，由俄罗斯地下黑客组织开发并广泛使用在BOTNET，主要用于建立僵尸网络，对定向目标实施DDoS攻击。Black Energy有一套完整的生成器，可以生成感染受害主机的客户端程序和架构在C&C (指挥和控制)服务器的命令生成脚本。攻击者利用这套黑客软件可以方便地建立僵尸网络，只需在C&C服务器下达简单指令，僵尸网络受害主机便统一执行其指令。

经过数年的发展，Black Energy逐渐加入了Rootkit技术，插件支持，远程代码执行， 数据采集等功能，已能够根据攻击目的和对象，由黑客来选择特制插件进行APT攻击。进一步升级，包括支持代理服务器，绕过用户账户认证（UAC）技术，以及针对64位Windows系统的签名驱动等等。

乌克兰电厂遭袭事件是第一次经证实的计算机恶意程序导致停电的事件，证明了通过网络攻击手段是可以实现工业破坏的。

时间：

2018年8月3日

地点：

中国台湾

事件回顾：

8月3日晚间，台积电突位于营运总部和新竹科学园区的的12英寸晶圆厂电脑，遭到勒索病毒入侵，生产线全数停摆。几个小时之内，台积电在台湾北、中、南三处重要生产基地均未能幸免。

事件分析：

对于导致此次事故的原因，台积电4日下午发布消息称，主要是出于“新机台在安装软件的过程中操作失误”，导致病毒在新机台连接到台积电内部电脑网路时，发生病毒扩散。

据台湾《自由时报》报道，业内人士研判，至于原因，很可能是Windows 7系统没有升级补丁，或者没有关闭445端口，从而导致WannaCry病毒入侵后迅速传播到其他生产线中。台积电生产车间的“天车”日系搬送设备，以及相关电脑都使用Windows 7系统。

WannaCry勒索病毒属于NotPetya的变种，从去年开始爆发后，已经有至少150个国家、30万名用户中招，其造成的损失高达80亿美元，影响到了金融、能源、医疗等众多行业，造成严重的危机管理问题。我国也有大量Windows系统用户遭到感染，校园网受害严重，大量实验室数据和毕业设计被锁定加密。还有部分大型企业应用系统和数据库文件被加密后，无法正常工作。直到今天，我国每天仍有近千台设备受其感染，导致生产停滞或重要信息丢失。

时间：

2019年3月

地点：

委内瑞拉

事件回顾：

3月8日，周四晚上，古里水电站发生故障，导致委内瑞拉大部分地区断电，委内瑞拉当局设法恢复了该国“许多地区”的电力供应。然而，该国总统表示，国家电网在周六再次遭受打击，许多恢复的系统再次瘫痪。

事件分析：

委内瑞拉发生大规模停电后，该国总统马杜罗指责美国“蓄意破坏”，而美国官员则将停电归咎于委内瑞拉国内腐败和管理不善。

早些时候，未经证实的报道称，在委内瑞拉玻利瓦尔州西多变电站据称发生爆炸，向天空喷出黑烟，随后该国95%的地区再次断电。据报道，自从古里发电厂发生故障以来，这个变电站一直在维持电力供应。古里发电厂生产了全国80%的电力。

委内瑞拉当局目前正试图“人工”修复这些系统，同时努力“诊断出计算机化的系统为何会出现如此大规模的故障”。

委内瑞拉政府将周四的大停电归咎于美国的“破坏”。总统尼古拉斯·马杜罗指责华盛顿对本国“电力战”，而通信和信息部长乔治·罗德里格斯则将停电归咎于“美国精心策划的网络攻击”。

来源：e安在线