低水平黑客也可远程攻击工业电机并造成物理破坏

造成物理破坏的黑客攻击屈指可数。臭名昭著的震网蠕虫是世上首个，它对伊朗的核离心机造成了物理破坏。2014年，德国报告了第二次黑客行为造成物理破坏的记录，该事件导致钢铁厂的熔炉产生破坏。

这两次攻击都需要基于对目标的大量背景知识来发动。但研究人员近期已经发现了一种简单的方法，可以让技术水平比较低的黑客通过单次远程连接造成物理破坏，其中很多设备很容易通过互联网访问到。

风扇电机、供水厂水泵、采矿、供暖和空调系统中的电机都由变频驱动器控制，很容易遭到攻击。驱动器是一种电子设备，可以设置并保持电机维持在特定速度工作的电子频率。这些电机最后会控制水泵、岩石破碎系统和空气压缩设备。

雷德·威特曼（Reid Wightman）是 Digital Bond Labs 的安全研究人员，他发现，至少有四家变频驱动器的制造商都存在相同的漏洞：它们同时拥有读写能力，也没有配备验证系统，防止未授权人员接入设备并给电机写入新速度。此外，变频器会泄露关于电机最高安全运行速度的信息，这让黑客很容易确定电机的危险运行速度。

“所有变频器都有一个保护设置，它告诉人们该电机的危险速度。专业术语称之为‘临界速度’，超过这个数值，电机的中轴就会开始振动。”

威特曼在佛罗里达州迈阿密举行的 S4 大会上展示了研究成果，他表示，生产商在设备注册信息中特意加入了临界速度的信息，保证操作员清楚电机的最高速度。然而他表示，变频器会将该信息返回给发出查询请求的任何人。它们使用 Modbus 协议进行通讯，黑客只要向变频器的控制面板发送简单的查询请求，就可以获取这一关键信息。

“我想问的是，厂商为什么会将这项信息设定成可以通过网络协议写入。操作员怎么可能会需要更改这项设置？这又不是你在电机运行的时候可能会需要更改的东西。正确的情景应当是将电机卸下来，在它不运转的时候进行更改。有人觉得这是个好主意。”

让电机速度达到甚至超过临界速度会造成相当大的伤害。振动会破坏轴承和马达轴。“进行攻击很容易，而且查出电机破坏的真正原因非常麻烦。制造缺陷、运气不好都有可能是电机故障的原因。”

如果设施对电机的运行速度设置及更改情况进行日志记录，有可能查出问题的根源。但华盛顿大学圣路易斯分校对工业控制系统做的一份研究表明，关键基础设施和工业厂商很少设置广泛的日志记录。

威特曼提到存在问题的厂商是如下四家：施耐德电气、艾伦-布拉德利、ABB、伟肯。

“这四家供应商都存在完全相同的问题：关键的速度变量可以读写，因此变频器可以被调整到临界速度。”有讽刺意义的是，在震网病毒攻击伊朗核设施的事件中，伊朗方面使用的正是芬兰公司伟肯制造的变频器。当然，这些变频器比外特曼用作测试的电机频率要高得多，由于可被核设施应用，它们还受到出口管控。

威特曼在实验室里做测试用的是消费级的施耐德电气 Altivar 12变频器。他没有对其它产品进行物理测试，而只是通过阅读用户手册查看其功能，确定是否存在相同的漏洞。他检查了艾伦-布拉德利的 PowerFlex 700系列、ABB 的 ACS 500 和伟肯的 X4 系列。

他表示自己没有向厂商披露过此问题。

“他们能做什么呢？他们设计了这样的工作方式。他们特意让速度可读可写，还没有加入认证。他们知道自己在做什么。”

－－－

要闻/干货/原创/专业 关注“安全牛”