今年2月,美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)公告稱(chēng),一家未公開(kāi)名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設施兩天。4月24日至25日兩天,以色列的供水命令和控制系統遭受攻擊,5月9日,伊朗在位于霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊也遭受“高度精準”網(wǎng)絡(luò )攻擊,致使該港口發(fā)生嚴重混亂。在冠狀病毒大流行期間,有10多個(gè)醫療機構遭受了以冠狀病毒為主題的網(wǎng)絡(luò )攻擊。美國CISA發(fā)布通告警醒,跡象表明,高持續威脅(APT)團體正在利用COVD-19大流行實(shí)施更加廣泛的網(wǎng)絡(luò )攻擊。各種玩家粉墨登場(chǎng)。
天地和興對所監測到的工業(yè)領(lǐng)域的網(wǎng)絡(luò )安全事件進(jìn)行梳理,篩選10起比較典型的攻擊事件,代表典型的行業(yè)、典型的手段,以此警示關(guān)鍵信息基礎設施相關(guān)利益方,警鐘常鳴,防患未然。
1、美國天然氣管道遭受勒索軟件攻擊
2月,美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)發(fā)布公告,稱(chēng)一家未公開(kāi)名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設施兩天。
攻擊從釣魚(yú)郵件內的惡意鏈接發(fā)起,從其IT網(wǎng)絡(luò )滲透到OT網(wǎng)絡(luò ), 勒索軟件對IT和OT資產(chǎn)都造成了影響。攻擊發(fā)生在該公司的天然氣壓縮設施,沒(méi)有擴散到控制壓縮設備的可編程邏輯控制器,因此該公司沒(méi)有失去對執行部件的控制權。
根據CISA報告中提供的有限細節,攻擊者最初使用包含惡意鏈接的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)郵件攻擊未公開(kāi)名字的美國天然氣管道運營(yíng)商。安全意識不足的運維人員訪(fǎng)問(wèn)鏈接后使得身份不明的攻擊者能夠訪(fǎng)問(wèn)企業(yè)的IT網(wǎng)絡(luò ),隨后以IT網(wǎng)絡(luò )為跳板攻擊到OT網(wǎng)絡(luò )的ICS資產(chǎn)。
為了排查問(wèn)題并恢復運營(yíng),工作人員關(guān)閉了壓縮設施兩天,盡管勒索病毒僅直接鎖定了一個(gè)控制設備的網(wǎng)絡(luò )數據,但由于天然氣傳輸對管道的依賴(lài)性,一個(gè)控制設備的停擺最終導致這家企業(yè)關(guān)閉運營(yíng)持續了兩天時(shí)間。而作為下游能源供應商,受天然氣供應關(guān)閉影響的上游企業(yè)雖未公布,但波及范圍可想而知。
2、澳大利亞一航運及物流公司持續遭受勒索軟件攻擊
2月,澳大利亞一航運及物流公司遭到勒索軟件攻擊,隨后該公司便清理服務(wù)器,防止數據被盜。據悉,該公司四個(gè)月內已遭受二次勒索軟件攻擊。
經(jīng)調查發(fā)現,被攻擊系統中存在Nefilim勒索軟件(由Nemty演變而來(lái)的新一代勒索軟件),該勒索軟件會(huì )利用暴露在外的遠端桌面(RDP)連接端口進(jìn)行傳播,并使用AES-128算法來(lái)加加密文件。在盜走企業(yè)資料后,不法分子會(huì )以公布機密資料作為理由來(lái)勒索企業(yè)。
3、鋼鐵制造商遭受勒索軟件攻擊
3月,一家鋼鐵制造商在北美分支機構,包括加拿大和美國的鋼鐵生產(chǎn)廠(chǎng)均遭受了勒索軟件Ryuk攻擊,導致其在北美的分支機構癱瘓,大多數工廠(chǎng)都已停止生產(chǎn)。該公司是全球最大的跨國垂直整合煉鋼和采礦公司之一,主要在俄羅斯運營(yíng),但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業(yè)務(wù)。
4、以色列水利基礎設施遭受重大網(wǎng)絡(luò )攻擊
4月,黑客攻擊了以色列的水利設施。該國的廢水處理廠(chǎng)、泵站、污水處理設施的SCADA系統多次遭受了網(wǎng)絡(luò )攻擊,以色列國家網(wǎng)絡(luò )局發(fā)布公告稱(chēng),各能源和水行業(yè)企業(yè)需要緊急更改所有聯(lián)網(wǎng)系統的口令,以應對網(wǎng)絡(luò )攻擊的威脅。以色列計算機緊急響應團隊(CERT)和以色列政府水利局也發(fā)布了類(lèi)似的安全警告,水利局告知企業(yè)“重點(diǎn)更改運營(yíng)系統和液氯控制設備”的口令,因為這兩類(lèi)系統遭受的攻擊最多。
5、歐洲能源巨頭遭勒索軟件攻擊
4月,葡萄牙一跨國能源公司遭到勒索軟件攻擊。攻擊者聲稱(chēng),已獲取該公司10TB的敏感數據文件,并且索要1580的比特幣贖金(折合約1090萬(wàn)美元/990萬(wàn)歐元)。
在反病毒系統檢測到勒索軟件后,該公司內部IT網(wǎng)絡(luò )出現中斷。為了預防起見(jiàn),暫時(shí)隔離了公司網(wǎng)絡(luò ),以便實(shí)施可消除殘余風(fēng)險的所有干預措施。這些連接已在第二天清晨安全恢復。電力資產(chǎn)和發(fā)電廠(chǎng)的遠程控制系統沒(méi)有發(fā)生重大問(wèn)題,客戶(hù)數據也沒(méi)有暴露給第三方。由于內部IT網(wǎng)絡(luò )暫時(shí)堵塞,客戶(hù)服務(wù)活動(dòng)可能會(huì )在有限的時(shí)間內暫時(shí)中斷。
6、伊朗霍爾木茲海峽的重要港口遭受網(wǎng)絡(luò )攻擊
5月9日,伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網(wǎng)絡(luò )攻擊。調節船只、卡車(chē)、貨物流通的計算機系統一度崩潰,致使該港口水路和道路運行發(fā)生嚴重混亂。
伊朗港口和海事組織總干事穆罕默德·拉斯塔德也就此事表示:不明身份的外國黑客令其港口計算機發(fā)生短暫性“停工”。但表示,網(wǎng)絡(luò )攻擊并沒(méi)有滲透到核心計算機。據《以色列時(shí)報》報道,5月9日通往沙希德·拉賈伊港的高速公路上出現了長(cháng)達數公里的交通擁堵,甚至一連幾天,大量船只仍無(wú)法入港進(jìn)行卸載。
7、臺灣兩大煉油廠(chǎng)遭受勒索軟件攻擊
5月,臺灣兩大煉油廠(chǎng)在兩天內都受到了網(wǎng)絡(luò )攻擊。
一家公司首先受到攻擊,而另一家在第二天也遭受攻擊。5月4日,對前者的攻擊使其IT和計算機系統關(guān)閉,加油站無(wú)法訪(fǎng)問(wèn)用于管理收入記錄的數字平臺。
盡管仍接受信用卡和現金,但客戶(hù)無(wú)法在加油站使用VIP支付卡或電子支付應用程序。其中一家公司高管聲稱(chēng),破壞是由勒索軟件引起的。
8、瑞士鐵路機車(chē)制造商遭勒索攻擊
5月,瑞士一鐵路機車(chē)制造商對外披露,其近期遭受了網(wǎng)絡(luò )攻擊,攻擊者設法滲透其IT網(wǎng)絡(luò ),并用惡意軟件感染了部分計算機,很可能已經(jīng)竊取到部分數據。未知攻擊者試圖勒索該公司巨額贖金,否則將會(huì )公開(kāi)所盜取的數據。
該公司聲稱(chēng)已針對該事件展開(kāi)調查,并拒絕支付贖金,通過(guò)重新啟動(dòng)受影響系統,運行備份系統恢復運營(yíng)。
9、汽車(chē)制造商遭受勒索軟件Snake攻擊
6月7日,某汽車(chē)制造商位于美國、歐洲及日本分公司的服務(wù)器,遭勒索軟件攻擊。BBC的報道顯示該公司過(guò)去48小時(shí)遭遇了極為慘烈的勒索軟件攻擊:勒索軟件已經(jīng)傳播到其整個(gè)網(wǎng)絡(luò ),影響了該公司的計算機服務(wù)器、電子郵件以及其他內網(wǎng)功能,目前企業(yè)正在努力將影響降到最低,并恢復生產(chǎn)、銷(xiāo)售和開(kāi)發(fā)活動(dòng)的全部功能。
該攻擊事件影響了公司在全球的業(yè)務(wù),導致電腦和其他裝置無(wú)法作業(yè),造成部分工廠(chǎng)停工,損失十分嚴重。
10、阿塞拜疆政府和能源部門(mén)遭受黑客攻擊
思科Talos威脅情報和研究小組的報告顯示,已經(jīng)發(fā)現有針對阿塞拜疆能源領(lǐng)域的威脅攻擊,特別是與風(fēng)力渦輪機相關(guān)的SCADA系統。
這些攻擊針對的目標是阿塞拜疆政府和公用事業(yè)公司,惡意代碼旨在感染廣泛用于能源和制造業(yè)的監督控制和數據采集(SCADA)系統,在這些攻擊中使用的新的基于Python的遠程訪(fǎng)問(wèn)木馬(RAT),稱(chēng)其為惡意軟件PoetRAT。一旦它被投送到設備并執行,其操作員就可以指示它列出文件,獲取有關(guān)系統的信息、下載和上傳文件、截屏、復制和移動(dòng)文件、在注冊表中進(jìn)行更改、隱藏和取消隱藏文件、查看和終止進(jìn)程,以及執行操作系統命令。
除PoetRAT之外,攻擊者還被發(fā)現將其他工具傳送到被入侵的系統中,包括那些通過(guò)電子郵件或FTP竊取數據的工具,通過(guò)他們的網(wǎng)絡(luò )攝像頭記錄受害者、記錄鍵盤(pán)點(diǎn)擊、從瀏覽器中竊取憑證、以及升級特權。
目前尚不清楚有多少次攻擊成功。
僅僅過(guò)去半年,年初關(guān)于工業(yè)網(wǎng)絡(luò )安全的種種預測正在逐步變?yōu)楝F實(shí)。網(wǎng)絡(luò )空間威脅行為體仍然會(huì )將關(guān)鍵基礎設施、非PC目標、SCADA/ICS/IoT、車(chē)聯(lián)網(wǎng)、無(wú)人機甚至衛星基礎設施作為攻擊目標;復合手段的攻擊仍然會(huì )持續,比如威脅行為體會(huì )將攻陷的IoT、IT節點(diǎn)組織為僵尸網(wǎng)絡(luò ),成為后續勒索和間諜行動(dòng)的支點(diǎn)或跳板;網(wǎng)絡(luò )攻擊會(huì )成為國家級威脅行為體在外交對抗與軍事沖突之間的更為折衷的選項;網(wǎng)絡(luò )戰的陰霾持續加劇等等。
新基建浪潮的推動(dòng)下,工業(yè)網(wǎng)絡(luò )安全產(chǎn)業(yè)將迎來(lái)新一輪發(fā)展機遇和巨大的發(fā)展空間。不可否認的是,工業(yè)行業(yè)普遍存在歷史性、系統性存量網(wǎng)絡(luò )安全問(wèn)題(如先天的協(xié)議和設計缺陷、技術(shù)防護措施不到位、威脅感知能力不足、安全制度落實(shí)不力、應急處置能力不足等)與5G、云計算、大數據、物聯(lián)網(wǎng)等新興技術(shù)應用帶來(lái)的新風(fēng)險新問(wèn)題(平臺安全、數據安全、應用安全、設備安全、控制安全)的疊加,形成更為復雜嚴峻的網(wǎng)絡(luò )安全挑戰和現實(shí)威脅。面對這種系統性、全局性現實(shí)威脅以及可能產(chǎn)生災難性的后果和影響,需要網(wǎng)絡(luò )安全能力供給方、行業(yè)監管部門(mén)和工業(yè)企業(yè)精誠團結,密切協(xié)作,全面把握“危”與“機”,以變應變、以變求變,立足大局,把握大勢,謀求網(wǎng)絡(luò )安全對抗新優(yōu)勢。
