今年2月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)公告稱,一家未公開(kāi)名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。4月24日至25日兩天,以色列的供水命令和控制系統(tǒng)遭受攻擊,5月9日,伊朗在位于霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊也遭受“高度精準(zhǔn)”網(wǎng)絡(luò)攻擊,致使該港口發(fā)生嚴(yán)重混亂。在冠狀病毒大流行期間,有10多個(gè)醫(yī)療機(jī)構(gòu)遭受了以冠狀病毒為主題的網(wǎng)絡(luò)攻擊。美國(guó)CISA發(fā)布通告警醒,跡象表明,高持續(xù)威脅(APT)團(tuán)體正在利用COVD-19大流行實(shí)施更加廣泛的網(wǎng)絡(luò)攻擊。各種玩家粉墨登場(chǎng)。
天地和興對(duì)所監(jiān)測(cè)到的工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全事件進(jìn)行梳理,篩選10起比較典型的攻擊事件,代表典型的行業(yè)、典型的手段,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)利益方,警鐘常鳴,防患未然。
1、美國(guó)天然氣管道遭受勒索軟件攻擊
2月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告,稱一家未公開(kāi)名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。
攻擊從釣魚(yú)郵件內(nèi)的惡意鏈接發(fā)起,從其IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò), 勒索軟件對(duì)IT和OT資產(chǎn)都造成了影響。攻擊發(fā)生在該公司的天然氣壓縮設(shè)施,沒(méi)有擴(kuò)散到控制壓縮設(shè)備的可編程邏輯控制器,因此該公司沒(méi)有失去對(duì)執(zhí)行部件的控制權(quán)。
根據(jù)CISA報(bào)告中提供的有限細(xì)節(jié),攻擊者最初使用包含惡意鏈接的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件攻擊未公開(kāi)名字的美國(guó)天然氣管道運(yùn)營(yíng)商。安全意識(shí)不足的運(yùn)維人員訪問(wèn)鏈接后使得身份不明的攻擊者能夠訪問(wèn)企業(yè)的IT網(wǎng)絡(luò),隨后以IT網(wǎng)絡(luò)為跳板攻擊到OT網(wǎng)絡(luò)的ICS資產(chǎn)。
為了排查問(wèn)題并恢復(fù)運(yùn)營(yíng),工作人員關(guān)閉了壓縮設(shè)施兩天,盡管勒索病毒僅直接鎖定了一個(gè)控制設(shè)備的網(wǎng)絡(luò)數(shù)據(jù),但由于天然氣傳輸對(duì)管道的依賴性,一個(gè)控制設(shè)備的停擺最終導(dǎo)致這家企業(yè)關(guān)閉運(yùn)營(yíng)持續(xù)了兩天時(shí)間。而作為下游能源供應(yīng)商,受天然氣供應(yīng)關(guān)閉影響的上游企業(yè)雖未公布,但波及范圍可想而知。
2、澳大利亞一航運(yùn)及物流公司持續(xù)遭受勒索軟件攻擊
2月,澳大利亞一航運(yùn)及物流公司遭到勒索軟件攻擊,隨后該公司便清理服務(wù)器,防止數(shù)據(jù)被盜。據(jù)悉,該公司四個(gè)月內(nèi)已遭受二次勒索軟件攻擊。
經(jīng)調(diào)查發(fā)現(xiàn),被攻擊系統(tǒng)中存在Nefilim勒索軟件(由Nemty演變而來(lái)的新一代勒索軟件),該勒索軟件會(huì)利用暴露在外的遠(yuǎn)端桌面(RDP)連接端口進(jìn)行傳播,并使用AES-128算法來(lái)加加密文件。在盜走企業(yè)資料后,不法分子會(huì)以公布機(jī)密資料作為理由來(lái)勒索企業(yè)。
3、鋼鐵制造商遭受勒索軟件攻擊
3月,一家鋼鐵制造商在北美分支機(jī)構(gòu),包括加拿大和美國(guó)的鋼鐵生產(chǎn)廠均遭受了勒索軟件Ryuk攻擊,導(dǎo)致其在北美的分支機(jī)構(gòu)癱瘓,大多數(shù)工廠都已停止生產(chǎn)。該公司是全球最大的跨國(guó)垂直整合煉鋼和采礦公司之一,主要在俄羅斯運(yùn)營(yíng),但在烏克蘭、哈薩克斯坦、意大利、捷克共和國(guó)、美國(guó)、加拿大和南非也有業(yè)務(wù)。
4、以色列水利基礎(chǔ)設(shè)施遭受重大網(wǎng)絡(luò)攻擊
4月,黑客攻擊了以色列的水利設(shè)施。該國(guó)的廢水處理廠、泵站、污水處理設(shè)施的SCADA系統(tǒng)多次遭受了網(wǎng)絡(luò)攻擊,以色列國(guó)家網(wǎng)絡(luò)局發(fā)布公告稱,各能源和水行業(yè)企業(yè)需要緊急更改所有聯(lián)網(wǎng)系統(tǒng)的口令,以應(yīng)對(duì)網(wǎng)絡(luò)攻擊的威脅。以色列計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)(CERT)和以色列政府水利局也發(fā)布了類似的安全警告,水利局告知企業(yè)“重點(diǎn)更改運(yùn)營(yíng)系統(tǒng)和液氯控制設(shè)備”的口令,因?yàn)檫@兩類系統(tǒng)遭受的攻擊最多。
5、歐洲能源巨頭遭勒索軟件攻擊
4月,葡萄牙一跨國(guó)能源公司遭到勒索軟件攻擊。攻擊者聲稱,已獲取該公司10TB的敏感數(shù)據(jù)文件,并且索要1580的比特幣贖金(折合約1090萬(wàn)美元/990萬(wàn)歐元)。
在反病毒系統(tǒng)檢測(cè)到勒索軟件后,該公司內(nèi)部IT網(wǎng)絡(luò)出現(xiàn)中斷。為了預(yù)防起見(jiàn),暫時(shí)隔離了公司網(wǎng)絡(luò),以便實(shí)施可消除殘余風(fēng)險(xiǎn)的所有干預(yù)措施。這些連接已在第二天清晨安全恢復(fù)。電力資產(chǎn)和發(fā)電廠的遠(yuǎn)程控制系統(tǒng)沒(méi)有發(fā)生重大問(wèn)題,客戶數(shù)據(jù)也沒(méi)有暴露給第三方。由于內(nèi)部IT網(wǎng)絡(luò)暫時(shí)堵塞,客戶服務(wù)活動(dòng)可能會(huì)在有限的時(shí)間內(nèi)暫時(shí)中斷。
6、伊朗霍爾木茲海峽的重要港口遭受網(wǎng)絡(luò)攻擊
5月9日,伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網(wǎng)絡(luò)攻擊。調(diào)節(jié)船只、卡車、貨物流通的計(jì)算機(jī)系統(tǒng)一度崩潰,致使該港口水路和道路運(yùn)行發(fā)生嚴(yán)重混亂。
伊朗港口和海事組織總干事穆罕默德·拉斯塔德也就此事表示:不明身份的外國(guó)黑客令其港口計(jì)算機(jī)發(fā)生短暫性“停工”。但表示,網(wǎng)絡(luò)攻擊并沒(méi)有滲透到核心計(jì)算機(jī)。據(jù)《以色列時(shí)報(bào)》報(bào)道,5月9日通往沙希德·拉賈伊港的高速公路上出現(xiàn)了長(zhǎng)達(dá)數(shù)公里的交通擁堵,甚至一連幾天,大量船只仍無(wú)法入港進(jìn)行卸載。
7、臺(tái)灣兩大煉油廠遭受勒索軟件攻擊
5月,臺(tái)灣兩大煉油廠在兩天內(nèi)都受到了網(wǎng)絡(luò)攻擊。
一家公司首先受到攻擊,而另一家在第二天也遭受攻擊。5月4日,對(duì)前者的攻擊使其IT和計(jì)算機(jī)系統(tǒng)關(guān)閉,加油站無(wú)法訪問(wèn)用于管理收入記錄的數(shù)字平臺(tái)。
盡管仍接受信用卡和現(xiàn)金,但客戶無(wú)法在加油站使用VIP支付卡或電子支付應(yīng)用程序。其中一家公司高管聲稱,破壞是由勒索軟件引起的。
8、瑞士鐵路機(jī)車制造商遭勒索攻擊
5月,瑞士一鐵路機(jī)車制造商對(duì)外披露,其近期遭受了網(wǎng)絡(luò)攻擊,攻擊者設(shè)法滲透其IT網(wǎng)絡(luò),并用惡意軟件感染了部分計(jì)算機(jī),很可能已經(jīng)竊取到部分?jǐn)?shù)據(jù)。未知攻擊者試圖勒索該公司巨額贖金,否則將會(huì)公開(kāi)所盜取的數(shù)據(jù)。
該公司聲稱已針對(duì)該事件展開(kāi)調(diào)查,并拒絕支付贖金,通過(guò)重新啟動(dòng)受影響系統(tǒng),運(yùn)行備份系統(tǒng)恢復(fù)運(yùn)營(yíng)。
9、汽車制造商遭受勒索軟件Snake攻擊
6月7日,某汽車制造商位于美國(guó)、歐洲及日本分公司的服務(wù)器,遭勒索軟件攻擊。BBC的報(bào)道顯示該公司過(guò)去48小時(shí)遭遇了極為慘烈的勒索軟件攻擊:勒索軟件已經(jīng)傳播到其整個(gè)網(wǎng)絡(luò),影響了該公司的計(jì)算機(jī)服務(wù)器、電子郵件以及其他內(nèi)網(wǎng)功能,目前企業(yè)正在努力將影響降到最低,并恢復(fù)生產(chǎn)、銷售和開(kāi)發(fā)活動(dòng)的全部功能。
該攻擊事件影響了公司在全球的業(yè)務(wù),導(dǎo)致電腦和其他裝置無(wú)法作業(yè),造成部分工廠停工,損失十分嚴(yán)重。
10、阿塞拜疆政府和能源部門(mén)遭受黑客攻擊
思科Talos威脅情報(bào)和研究小組的報(bào)告顯示,已經(jīng)發(fā)現(xiàn)有針對(duì)阿塞拜疆能源領(lǐng)域的威脅攻擊,特別是與風(fēng)力渦輪機(jī)相關(guān)的SCADA系統(tǒng)。
這些攻擊針對(duì)的目標(biāo)是阿塞拜疆政府和公用事業(yè)公司,惡意代碼旨在感染廣泛用于能源和制造業(yè)的監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng),在這些攻擊中使用的新的基于Python的遠(yuǎn)程訪問(wèn)木馬(RAT),稱其為惡意軟件PoetRAT。一旦它被投送到設(shè)備并執(zhí)行,其操作員就可以指示它列出文件,獲取有關(guān)系統(tǒng)的信息、下載和上傳文件、截屏、復(fù)制和移動(dòng)文件、在注冊(cè)表中進(jìn)行更改、隱藏和取消隱藏文件、查看和終止進(jìn)程,以及執(zhí)行操作系統(tǒng)命令。
除PoetRAT之外,攻擊者還被發(fā)現(xiàn)將其他工具傳送到被入侵的系統(tǒng)中,包括那些通過(guò)電子郵件或FTP竊取數(shù)據(jù)的工具,通過(guò)他們的網(wǎng)絡(luò)攝像頭記錄受害者、記錄鍵盤(pán)點(diǎn)擊、從瀏覽器中竊取憑證、以及升級(jí)特權(quán)。
目前尚不清楚有多少次攻擊成功。
僅僅過(guò)去半年,年初關(guān)于工業(yè)網(wǎng)絡(luò)安全的種種預(yù)測(cè)正在逐步變?yōu)楝F(xiàn)實(shí)。網(wǎng)絡(luò)空間威脅行為體仍然會(huì)將關(guān)鍵基礎(chǔ)設(shè)施、非PC目標(biāo)、SCADA/ICS/IoT、車聯(lián)網(wǎng)、無(wú)人機(jī)甚至衛(wèi)星基礎(chǔ)設(shè)施作為攻擊目標(biāo);復(fù)合手段的攻擊仍然會(huì)持續(xù),比如威脅行為體會(huì)將攻陷的IoT、IT節(jié)點(diǎn)組織為僵尸網(wǎng)絡(luò),成為后續(xù)勒索和間諜行動(dòng)的支點(diǎn)或跳板;網(wǎng)絡(luò)攻擊會(huì)成為國(guó)家級(jí)威脅行為體在外交對(duì)抗與軍事沖突之間的更為折衷的選項(xiàng);網(wǎng)絡(luò)戰(zhàn)的陰霾持續(xù)加劇等等。
新基建浪潮的推動(dòng)下,工業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)將迎來(lái)新一輪發(fā)展機(jī)遇和巨大的發(fā)展空間。不可否認(rèn)的是,工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡(luò)安全問(wèn)題(如先天的協(xié)議和設(shè)計(jì)缺陷、技術(shù)防護(hù)措施不到位、威脅感知能力不足、安全制度落實(shí)不力、應(yīng)急處置能力不足等)與5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用帶來(lái)的新風(fēng)險(xiǎn)新問(wèn)題(平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用安全、設(shè)備安全、控制安全)的疊加,形成更為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實(shí)威脅。面對(duì)這種系統(tǒng)性、全局性現(xiàn)實(shí)威脅以及可能產(chǎn)生災(zāi)難性的后果和影響,需要網(wǎng)絡(luò)安全能力供給方、行業(yè)監(jiān)管部門(mén)和工業(yè)企業(yè)精誠(chéng)團(tuán)結(jié),密切協(xié)作,全面把握“危”與“機(jī)”,以變應(yīng)變、以變求變,立足大局,把握大勢(shì),謀求網(wǎng)絡(luò)安全對(duì)抗新優(yōu)勢(shì)。
