企業(yè)發(fā)布

天地和興：2020上半年10大典型工業(yè)網(wǎng)絡(luò)安全事件

2020/7/8 11:44:46 來源：中國(guó)企業(yè)新聞網(wǎng) 評(píng)論：(0)

導(dǎo)言：2020年是不同尋常的一年。網(wǎng)信事業(yè)成為我國(guó)新一輪改革和國(guó)家治理的新命題。網(wǎng)絡(luò)安全在危機(jī)中育有新機(jī)，于變局中待開新局。全球新冠疫情的流行，給各能力層次的網(wǎng)絡(luò)威脅行為體提供了網(wǎng)絡(luò)攻擊的重大機(jī)遇。地緣政治的競(jìng)合，使得物理空間的競(jìng)爭(zhēng)對(duì)抗與網(wǎng)絡(luò)空間的爭(zhēng)奪融合并發(fā)。

　　2020年是不同尋常的一年。網(wǎng)信事業(yè)成為我國(guó)新一輪改革和國(guó)家治理的新命題。網(wǎng)絡(luò)安全在危機(jī)中育有新機(jī)，于變局中待開新局。全球新冠疫情的流行，給各能力層次的網(wǎng)絡(luò)威脅行為體提供了網(wǎng)絡(luò)攻擊的重大機(jī)遇。地緣政治的競(jìng)合，使得物理空間的競(jìng)爭(zhēng)對(duì)抗與網(wǎng)絡(luò)空間的爭(zhēng)奪融合并發(fā)。新興技術(shù)的應(yīng)用同時(shí)也帶來了更新的網(wǎng)絡(luò)安全問題和風(fēng)險(xiǎn)。錯(cuò)綜復(fù)雜的新形勢(shì)、新常態(tài)，使網(wǎng)絡(luò)空間對(duì)抗的形勢(shì)更加嚴(yán)峻復(fù)雜。工業(yè)行業(yè)作為近年來地緣政治爭(zhēng)奪和網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場(chǎng)，網(wǎng)絡(luò)攻擊事件頻發(fā)、多發(fā)。覆蓋行業(yè)面廣，石油、能源、電力、制造、水利、公共設(shè)施，無一幸免。攻擊手段綜合復(fù)雜，數(shù)據(jù)竊取、隱蔽控制、勒索謀財(cái)，無所不用。

　　今年2月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)公告稱，一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。4月24日至25日兩天，以色列的供水命令和控制系統(tǒng)遭受攻擊，5月9日，伊朗在位于霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊也遭受“高度精準(zhǔn)”網(wǎng)絡(luò)攻擊，致使該港口發(fā)生嚴(yán)重混亂。在冠狀病毒大流行期間，有10多個(gè)醫(yī)療機(jī)構(gòu)遭受了以冠狀病毒為主題的網(wǎng)絡(luò)攻擊。美國(guó)CISA發(fā)布通告警醒，跡象表明，高持續(xù)威脅(APT)團(tuán)體正在利用COVD-19大流行實(shí)施更加廣泛的網(wǎng)絡(luò)攻擊。各種玩家粉墨登場(chǎng)。

　　天地和興對(duì)所監(jiān)測(cè)到的工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全事件進(jìn)行梳理，篩選10起比較典型的攻擊事件，代表典型的行業(yè)、典型的手段，以此警示關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)利益方，警鐘常鳴，防患未然�！　�

　　1、美國(guó)天然氣管道遭受勒索軟件攻擊

　　2月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告，稱一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。

　　攻擊從釣魚郵件內(nèi)的惡意鏈接發(fā)起，從其IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò)，勒索軟件對(duì)IT和OT資產(chǎn)都造成了影響。攻擊發(fā)生在該公司的天然氣壓縮設(shè)施，沒有擴(kuò)散到控制壓縮設(shè)備的可編程邏輯控制器，因此該公司沒有失去對(duì)執(zhí)行部件的控制權(quán)。

　　根據(jù)CISA報(bào)告中提供的有限細(xì)節(jié)，攻擊者最初使用包含惡意鏈接的魚叉式網(wǎng)絡(luò)釣魚郵件攻擊未公開名字的美國(guó)天然氣管道運(yùn)營(yíng)商。安全意識(shí)不足的運(yùn)維人員訪問鏈接后使得身份不明的攻擊者能夠訪問企業(yè)的IT網(wǎng)絡(luò)，隨后以IT網(wǎng)絡(luò)為跳板攻擊到OT網(wǎng)絡(luò)的ICS資產(chǎn)。

　　為了排查問題并恢復(fù)運(yùn)營(yíng)，工作人員關(guān)閉了壓縮設(shè)施兩天，盡管勒索病毒僅直接鎖定了一個(gè)控制設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)，但由于天然氣傳輸對(duì)管道的依賴性，一個(gè)控制設(shè)備的停擺最終導(dǎo)致這家企業(yè)關(guān)閉運(yùn)營(yíng)持續(xù)了兩天時(shí)間。而作為下游能源供應(yīng)商，受天然氣供應(yīng)關(guān)閉影響的上游企業(yè)雖未公布，但波及范圍可想而知。

　　2、澳大利亞一航運(yùn)及物流公司持續(xù)遭受勒索軟件攻擊

　　2月，澳大利亞一航運(yùn)及物流公司遭到勒索軟件攻擊，隨后該公司便清理服務(wù)器，防止數(shù)據(jù)被盜。據(jù)悉，該公司四個(gè)月內(nèi)已遭受二次勒索軟件攻擊。

　　經(jīng)調(diào)查發(fā)現(xiàn)，被攻擊系統(tǒng)中存在Nefilim勒索軟件(由Nemty演變而來的新一代勒索軟件)，該勒索軟件會(huì)利用暴露在外的遠(yuǎn)端桌面(RDP)連接端口進(jìn)行傳播，并使用AES-128算法來加加密文件。在盜走企業(yè)資料后，不法分子會(huì)以公布機(jī)密資料作為理由來勒索企業(yè)。

　　3、鋼鐵制造商遭受勒索軟件攻擊

　　3月，一家鋼鐵制造商在北美分支機(jī)構(gòu)，包括加拿大和美國(guó)的鋼鐵生產(chǎn)廠均遭受了勒索軟件Ryuk攻擊，導(dǎo)致其在北美的分支機(jī)構(gòu)癱瘓，大多數(shù)工廠都已停止生產(chǎn)。該公司是全球最大的跨國(guó)垂直整合煉鋼和采礦公司之一，主要在俄羅斯運(yùn)營(yíng)，但在烏克蘭、哈薩克斯坦、意大利、捷克共和國(guó)、美國(guó)、加拿大和南非也有業(yè)務(wù)。

　　4、以色列水利基礎(chǔ)設(shè)施遭受重大網(wǎng)絡(luò)攻擊

　　4月，黑客攻擊了以色列的水利設(shè)施。該國(guó)的廢水處理廠、泵站、污水處理設(shè)施的SCADA系統(tǒng)多次遭受了網(wǎng)絡(luò)攻擊，以色列國(guó)家網(wǎng)絡(luò)局發(fā)布公告稱，各能源和水行業(yè)企業(yè)需要緊急更改所有聯(lián)網(wǎng)系統(tǒng)的口令，以應(yīng)對(duì)網(wǎng)絡(luò)攻擊的威脅。以色列計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)(CERT)和以色列政府水利局也發(fā)布了類似的安全警告，水利局告知企業(yè)“重點(diǎn)更改運(yùn)營(yíng)系統(tǒng)和液氯控制設(shè)備”的口令，因?yàn)檫@兩類系統(tǒng)遭受的攻擊最多。

　　5、歐洲能源巨頭遭勒索軟件攻擊

　　4月，葡萄牙一跨國(guó)能源公司遭到勒索軟件攻擊。攻擊者聲稱，已獲取該公司10TB的敏感數(shù)據(jù)文件，并且索要1580的比特幣贖金(折合約1090萬美元/990萬歐元)。

　　在反病毒系統(tǒng)檢測(cè)到勒索軟件后，該公司內(nèi)部IT網(wǎng)絡(luò)出現(xiàn)中斷。為了預(yù)防起見，暫時(shí)隔離了公司網(wǎng)絡(luò)，以便實(shí)施可消除殘余風(fēng)險(xiǎn)的所有干預(yù)措施。這些連接已在第二天清晨安全恢復(fù)。電力資產(chǎn)和發(fā)電廠的遠(yuǎn)程控制系統(tǒng)沒有發(fā)生重大問題，客戶數(shù)據(jù)也沒有暴露給第三方。由于內(nèi)部IT網(wǎng)絡(luò)暫時(shí)堵塞，客戶服務(wù)活動(dòng)可能會(huì)在有限的時(shí)間內(nèi)暫時(shí)中斷。

　　6、伊朗霍爾木茲海峽的重要港口遭受網(wǎng)絡(luò)攻擊

　　5月9日，伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網(wǎng)絡(luò)攻擊。調(diào)節(jié)船只、卡車、貨物流通的計(jì)算機(jī)系統(tǒng)一度崩潰，致使該港口水路和道路運(yùn)行發(fā)生嚴(yán)重混亂。

　　伊朗港口和海事組織總干事穆罕默德·拉斯塔德也就此事表示：不明身份的外國(guó)黑客令其港口計(jì)算機(jī)發(fā)生短暫性“停工”。但表示，網(wǎng)絡(luò)攻擊并沒有滲透到核心計(jì)算機(jī)。據(jù)《以色列時(shí)報(bào)》報(bào)道，5月9日通往沙希德·拉賈伊港的高速公路上出現(xiàn)了長(zhǎng)達(dá)數(shù)公里的交通擁堵，甚至一連幾天，大量船只仍無法入港進(jìn)行卸載。

　　7、臺(tái)灣兩大煉油廠遭受勒索軟件攻擊

　　5月，臺(tái)灣兩大煉油廠在兩天內(nèi)都受到了網(wǎng)絡(luò)攻擊。

　　一家公司首先受到攻擊，而另一家在第二天也遭受攻擊。5月4日，對(duì)前者的攻擊使其IT和計(jì)算機(jī)系統(tǒng)關(guān)閉，加油站無法訪問用于管理收入記錄的數(shù)字平臺(tái)。

　　盡管仍接受信用卡和現(xiàn)金，但客戶無法在加油站使用VIP支付卡或電子支付應(yīng)用程序。其中一家公司高管聲稱，破壞是由勒索軟件引起的。

　　8、瑞士鐵路機(jī)車制造商遭勒索攻擊

　　5月，瑞士一鐵路機(jī)車制造商對(duì)外披露，其近期遭受了網(wǎng)絡(luò)攻擊，攻擊者設(shè)法滲透其IT網(wǎng)絡(luò)，并用惡意軟件感染了部分計(jì)算機(jī)，很可能已經(jīng)竊取到部分?jǐn)?shù)據(jù)。未知攻擊者試圖勒索該公司巨額贖金，否則將會(huì)公開所盜取的數(shù)據(jù)。

　　該公司聲稱已針對(duì)該事件展開調(diào)查，并拒絕支付贖金，通過重新啟動(dòng)受影響系統(tǒng)，運(yùn)行備份系統(tǒng)恢復(fù)運(yùn)營(yíng)。

　　9、汽車制造商遭受勒索軟件Snake攻擊

　　6月7日，某汽車制造商位于美國(guó)、歐洲及日本分公司的服務(wù)器，遭勒索軟件攻擊。BBC的報(bào)道顯示該公司過去48小時(shí)遭遇了極為慘烈的勒索軟件攻擊：勒索軟件已經(jīng)傳播到其整個(gè)網(wǎng)絡(luò)，影響了該公司的計(jì)算機(jī)服務(wù)器、電子郵件以及其他內(nèi)網(wǎng)功能，目前企業(yè)正在努力將影響降到最低，并恢復(fù)生產(chǎn)、銷售和開發(fā)活動(dòng)的全部功能。

　　該攻擊事件影響了公司在全球的業(yè)務(wù)，導(dǎo)致電腦和其他裝置無法作業(yè)，造成部分工廠停工，損失十分嚴(yán)重。

　　10、阿塞拜疆政府和能源部門遭受黑客攻擊

　　思科Talos威脅情報(bào)和研究小組的報(bào)告顯示，已經(jīng)發(fā)現(xiàn)有針對(duì)阿塞拜疆能源領(lǐng)域的威脅攻擊，特別是與風(fēng)力渦輪機(jī)相關(guān)的SCADA系統(tǒng)。

　　這些攻擊針對(duì)的目標(biāo)是阿塞拜疆政府和公用事業(yè)公司，惡意代碼旨在感染廣泛用于能源和制造業(yè)的監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng)，在這些攻擊中使用的新的基于Python的遠(yuǎn)程訪問木馬(RAT)，稱其為惡意軟件PoetRAT。一旦它被投送到設(shè)備并執(zhí)行，其操作員就可以指示它列出文件，獲取有關(guān)系統(tǒng)的信息、下載和上傳文件、截屏、復(fù)制和移動(dòng)文件、在注冊(cè)表中進(jìn)行更改、隱藏和取消隱藏文件、查看和終止進(jìn)程，以及執(zhí)行操作系統(tǒng)命令。

　　除PoetRAT之外，攻擊者還被發(fā)現(xiàn)將其他工具傳送到被入侵的系統(tǒng)中，包括那些通過電子郵件或FTP竊取數(shù)據(jù)的工具，通過他們的網(wǎng)絡(luò)攝像頭記錄受害者、記錄鍵盤點(diǎn)擊、從瀏覽器中竊取憑證、以及升級(jí)特權(quán)。

　　目前尚不清楚有多少次攻擊成功。

　　僅僅過去半年，年初關(guān)于工業(yè)網(wǎng)絡(luò)安全的種種預(yù)測(cè)正在逐步變?yōu)楝F(xiàn)實(shí)。網(wǎng)絡(luò)空間威脅行為體仍然會(huì)將關(guān)鍵基礎(chǔ)設(shè)施、非PC目標(biāo)、SCADA/ICS/IoT、車聯(lián)網(wǎng)、無人機(jī)甚至衛(wèi)星基礎(chǔ)設(shè)施作為攻擊目標(biāo);復(fù)合手段的攻擊仍然會(huì)持續(xù)，比如威脅行為體會(huì)將攻陷的IoT、IT節(jié)點(diǎn)組織為僵尸網(wǎng)絡(luò)，成為后續(xù)勒索和間諜行動(dòng)的支點(diǎn)或跳板;網(wǎng)絡(luò)攻擊會(huì)成為國(guó)家級(jí)威脅行為體在外交對(duì)抗與軍事沖突之間的更為折衷的選項(xiàng);網(wǎng)絡(luò)戰(zhàn)的陰霾持續(xù)加劇等等。

　　新基建浪潮的推動(dòng)下，工業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)將迎來新一輪發(fā)展機(jī)遇和巨大的發(fā)展空間。不可否認(rèn)的是，工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡(luò)安全問題(如先天的協(xié)議和設(shè)計(jì)缺陷、技術(shù)防護(hù)措施不到位、威脅感知能力不足、安全制度落實(shí)不力、應(yīng)急處置能力不足等)與5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用帶來的新風(fēng)險(xiǎn)新問題(平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用安全、設(shè)備安全、控制安全)的疊加，形成更為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實(shí)威脅。面對(duì)這種系統(tǒng)性、全局性現(xiàn)實(shí)威脅以及可能產(chǎn)生災(zāi)難性的后果和影響，需要網(wǎng)絡(luò)安全能力供給方、行業(yè)監(jiān)管部門和工業(yè)企業(yè)精誠(chéng)團(tuán)結(jié)，密切協(xié)作，全面把握“�！迸c“機(jī)”，以變應(yīng)變、以變求變，立足大局，把握大勢(shì)，謀求網(wǎng)絡(luò)安全對(duì)抗新優(yōu)勢(shì)。

免責(zé)聲明：

※ 以上所展示的信息來自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本網(wǎng)站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的，請(qǐng)?jiān)?0日內(nèi)進(jìn)行。
※ 有關(guān)作品版權(quán)事宜請(qǐng)聯(lián)系中國(guó)企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時(shí)內(nèi)審核并處理。

分享到：

[責(zé)任編輯：姚小冰]