天地和兴：2020上半年10大典型工业网络安全事件

　　2020年是不同寻常的一年。网信事业成为我国新一轮改革和国家治理的新命题。网络安全在危机中育有新机，于变局中待开新局。全球新冠疫情的流行，给各能力层次的网络威胁行为体提供了网络攻击的重大机遇。地缘政治的竞合，使得物理空间的竞争对抗与网络空间的争夺融合并发。新兴技术的应用同时也带来了更新的网络安全问题和风险。错综复杂的新形势、新常态，使网络空间对抗的形势更加严峻复杂。工业行业作为近年来地缘政治争夺和网络空间对抗的主战场，网络攻击事件频发、多发。覆盖行业面广，石油、能源、电力、制造、水利、公共设施，无一幸免。攻击手段综合复杂，数据窃取、隐蔽控制、勒索谋财，无所不用。

　　今年2月，美国网络安全和基础设施安全局(CISA)公告称，一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。4月24日至25日两天，以色列的供水命令和控制系统遭受攻击，5月9日，伊朗在位于霍尔木兹海峡附近的重要港口朗沙希德·拉贾伊也遭受“高度精准”网络攻击，致使该港口发生严重混乱。在冠状病毒大流行期间，有10多个医疗机构遭受了以冠状病毒为主题的网络攻击。美国CISA发布通告警醒，迹象表明，高持续威胁(APT)团体正在利用COVD-19大流行实施更加广泛的网络攻击。各种玩家粉墨登场。

　　天地和兴对所监测到的工业领域的网络安全事件进行梳理，筛选10起比较典型的攻击事件，代表典型的行业、典型的手段，以此警示关键信息基础设施相关利益方，警钟常鸣，防患未然。

　　1、美国天然气管道遭受勒索软件攻击

　　2月，美国网络安全和基础设施安全局(CISA)发布公告，称一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。

　　攻击从钓鱼邮件内的恶意链接发起，从其IT网络渗透到OT网络， 勒索软件对IT和OT资产都造成了影响。攻击发生在该公司的天然气压缩设施，没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对执行部件的控制权。

　　根据CISA报告中提供的有限细节，攻击者最初使用包含恶意链接的鱼叉式网络钓鱼邮件攻击未公开名字的美国天然气管道运营商。安全意识不足的运维人员访问链接后使得身份不明的攻击者能够访问企业的IT网络，随后以IT网络为跳板攻击到OT网络的ICS资产。

　　为了排查问题并恢复运营，工作人员关闭了压缩设施两天，尽管勒索病毒仅直接锁定了一个控制设备的网络数据，但由于天然气传输对管道的依赖性，一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。而作为下游能源供应商，受天然气供应关闭影响的上游企业虽未公布，但波及范围可想而知。

　　2、澳大利亚一航运及物流公司持续遭受勒索软件攻击

　　2月，澳大利亚一航运及物流公司遭到勒索软件攻击，随后该公司便清理服务器，防止数据被盗。据悉，该公司四个月内已遭受二次勒索软件攻击。

　　经调查发现，被攻击系统中存在Nefilim勒索软件(由Nemty演变而来的新一代勒索软件)，该勒索软件会利用暴露在外的远端桌面(RDP)连接端口进行传播，并使用AES-128算法来加加密文件。在盗走企业资料后，不法分子会以公布机密资料作为理由来勒索企业。

　　3、钢铁制造商遭受勒索软件攻击

　　3月，一家钢铁制造商在北美分支机构，包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击，导致其在北美的分支机构瘫痪，大多数工厂都已停止生产。该公司是全球最大的跨国垂直整合炼钢和采矿公司之一，主要在俄罗斯运营，但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。

　　4、以色列水利基础设施遭受重大网络攻击

　　4月，黑客攻击了以色列的水利设施。该国的废水处理厂、泵站、污水处理设施的SCADA系统多次遭受了网络攻击，以色列国家网络局发布公告称，各能源和水行业企业需要紧急更改所有联网系统的口令，以应对网络攻击的威胁。以色列计算机紧急响应团队(CERT)和以色列政府水利局也发布了类似的安全警告，水利局告知企业“重点更改运营系统和液氯控制设备”的口令，因为这两类系统遭受的攻击最多。

　　5、欧洲能源巨头遭勒索软件攻击

　　4月，葡萄牙一跨国能源公司遭到勒索软件攻击。攻击者声称，已获取该公司10TB的敏感数据文件，并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。

　　在反病毒系统检测到勒索软件后，该公司内部IT网络出现中断。为了预防起见，暂时隔离了公司网络，以便实施可消除残余风险的所有干预措施。这些连接已在第二天清晨安全恢复。电力资产和发电厂的远程控制系统没有发生重大问题，客户数据也没有暴露给第三方。由于内部IT网络暂时堵塞，客户服务活动可能会在有限的时间内暂时中断。

　　6、伊朗霍尔木兹海峡的重要港口遭受网络攻击

　　5月9日，伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭遇网络攻击。调节船只、卡车、货物流通的计算机系统一度崩溃，致使该港口水路和道路运行发生严重混乱。

　　伊朗港口和海事组织总干事穆罕默德·拉斯塔德也就此事表示：不明身份的外国黑客令其港口计算机发生短暂性“停工”。但表示，网络攻击并没有渗透到核心计算机。据《以色列时报》报道，5月9日通往沙希德·拉贾伊港的高速公路上出现了长达数公里的交通拥堵，甚至一连几天，大量船只仍无法入港进行卸载。

　　7、台湾两大炼油厂遭受勒索软件攻击

　　5月，台湾两大炼油厂在两天内都受到了网络攻击。

　　一家公司首先受到攻击，而另一家在第二天也遭受攻击。5月4日，对前者的攻击使其IT和计算机系统关闭，加油站无法访问用于管理收入记录的数字平台。

　　尽管仍接受信用卡和现金，但客户无法在加油站使用VIP支付卡或电子支付应用程序。其中一家公司高管声称，破坏是由勒索软件引起的。

　　8、瑞士铁路机车制造商遭勒索攻击

　　5月，瑞士一铁路机车制造商对外披露，其近期遭受了网络攻击，攻击者设法渗透其IT网络，并用恶意软件感染了部分计算机，很可能已经窃取到部分数据。未知攻击者试图勒索该公司巨额赎金，否则将会公开所盗取的数据。

　　该公司声称已针对该事件展开调查，并拒绝支付赎金，通过重新启动受影响系统，运行备份系统恢复运营。

　　9、汽车制造商遭受勒索软件Snake攻击

（编辑：西双版纳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!