国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

序

在繁忙的工作中不知不覺又迎來了新的一年，年末歲初，正是我們總結(jié)過去展望未來的時(shí)間。對(duì)于工控安全行業(yè)，2019年可以說是具有劃時(shí)代意義的一年。

5月1號(hào)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例被納入《國務(wù)院2019年立法工作計(jì)劃》，由網(wǎng)信辦、工業(yè)和信息化部、公安部負(fù)責(zé)起草。

12月1號(hào)，萬眾矚目的“等保2.0”正式開始實(shí)施，工業(yè)控制系統(tǒng)安全正式被納入等保2.0的評(píng)測(cè)范圍。

12月3號(hào)，國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》（報(bào)批稿）試點(diǎn)工作正式啟動(dòng)。關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)的主要內(nèi)容包含公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，其中能源、交通、水利和很多公共服務(wù)都離不開工業(yè)控制系統(tǒng)。

除了這些政策法規(guī)，大家更關(guān)心更有興趣的是真實(shí)發(fā)生的安全事件或安全事故。安全行業(yè)和保險(xiǎn)行業(yè)很相似，沒有事故發(fā)生時(shí)感覺不到它的存在和價(jià)值，只有血淋淋的事故才能改變或加深大家的認(rèn)識(shí)和看法。2019年發(fā)生了很多重大的工控安全事件，這些事件也將改變或加深我們對(duì)于工控安全以及關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的認(rèn)識(shí)和看法。

本文匯編了2019年互聯(lián)網(wǎng)上披露的工業(yè)控制相關(guān)的安全事件或安全事故（很多工控安全事故不在網(wǎng)上披露），這些材料主要從國內(nèi)、國外的各種官方和非官方網(wǎng)站收集整理而來，雖然我們盡量參考多方資料進(jìn)行校對(duì)，但是難免會(huì)有不準(zhǔn)確的地方。很多黑客組織入侵攻擊的細(xì)節(jié)都需要長期的分析模擬才能反向推測(cè)還原當(dāng)時(shí)真實(shí)的場(chǎng)景，所以今年發(fā)生的大部分事件還沒有最終的分析結(jié)果，目前只有各方面媒體、機(jī)構(gòu)和專家的推測(cè)，甚至有些事件還不能確認(rèn)為攻擊事件，大家僅作參考。

如果各位讀者發(fā)現(xiàn)錯(cuò)誤或失真的地方，請(qǐng)不吝指正，如果發(fā)現(xiàn)侵犯了您的知識(shí)產(chǎn)權(quán)，請(qǐng)盡快聯(lián)系我們，我們將在第一時(shí)間響應(yīng)并確認(rèn)修改。

匯總分析

2019年，全球各地工控安全問題事件數(shù)量逐步上升，今年工控安全事件的報(bào)告數(shù)量達(dá)到329件。從2012年至今年的工控安全事件報(bào)告數(shù)量程逐年上升趨勢(shì)，如下圖所示：

圖表 1 2012~2019 年全球工控安全事件報(bào)告數(shù)量（數(shù)據(jù)來源：中國產(chǎn)業(yè)信息）

工業(yè)控制的細(xì)分領(lǐng)域眾多，據(jù)調(diào)查近年來工控安全事件涉及超過15個(gè)行業(yè)，安全事件的行業(yè)分布如下圖所示：

圖表 2 工控安全事件所屬行業(yè)細(xì)分（數(shù)據(jù)來源：中國產(chǎn)業(yè)信息）

目前工控市場(chǎng)安全只覆蓋到了其中部分行業(yè)的部分企業(yè)，要實(shí)現(xiàn)全面防護(hù)還有許多路要走。

下面我們來具體看一些網(wǎng)上公開的工業(yè)信息安全事件。

2019年1月

>>>愛爾蘭都柏林電車系統(tǒng)遭黑客攻擊

1月3日，據(jù)據(jù)《愛爾蘭審查員報(bào)》報(bào)道，控制愛爾蘭首都都柏林電車系統(tǒng)的網(wǎng)站Luas，早晨遭黑客入侵后下線，黑客要求五天內(nèi)支付贖金。

1月3號(hào)一大早，該網(wǎng)站的訪問者收到了黑客發(fā)來的信息，聲稱已從運(yùn)營商Transdev Ireland竊取了數(shù)據(jù)，若不支付一枚比特幣(約3300歐元或3800美元)的贖金，這些數(shù)據(jù)將會(huì)在網(wǎng)上發(fā)布。

圖表 3 都柏林電廠運(yùn)營網(wǎng)站收到的勒索信

在這封郵件中，黑客表示之前已就安全漏洞問題聯(lián)系過電車運(yùn)營商，但運(yùn)營商并未作出回應(yīng)，他們對(duì)此感到不滿。黑客這次成功地吸引了Transdev的注意，這一點(diǎn)在今早發(fā)給乘客的官方推特上得到證實(shí)，該推特提醒乘客不要訪問受感染的網(wǎng)站。Luas網(wǎng)站已經(jīng)離線，工程師們正在審查其安全性。

>>>法國亞創(chuàng)集團(tuán)遭勒索軟件攻擊

1月24日，攻擊者利用LockerGoga勒索軟件對(duì)亞創(chuàng)集團(tuán)進(jìn)行了勒索攻擊。

1月28日，亞創(chuàng)集團(tuán)發(fā)布聲明，稱技術(shù)專家正在對(duì)此次勒索事件進(jìn)行取證跟進(jìn)。由于此次勒索事件，亞創(chuàng)集團(tuán)暫停了全球多項(xiàng)業(yè)務(wù)。

法國亞創(chuàng)集團(tuán)成立于1982年，是一家提供創(chuàng)新和工程咨詢服務(wù)的全球性公司，業(yè)務(wù)遍布全球30多個(gè)國家，涉及汽車、通信、生命科學(xué)、航空航天、國防、能源、金融和鐵路等行業(yè)。

圖表 4 法國亞創(chuàng)集團(tuán)發(fā)布被網(wǎng)絡(luò)攻擊的聲明

圖表 5 法國亞創(chuàng)集團(tuán)收到的勒索信

2019年2月

>>印度國有天然氣公司數(shù)據(jù)泄露

2月10號(hào)，外媒報(bào)道，由于網(wǎng)絡(luò)安全措施不到位，印度國有天然氣公司Indane又一次暴露了數(shù)以百萬計(jì)的Aadhaar生物識(shí)別數(shù)據(jù)庫信息。問題出在Indane面向經(jīng)銷商和渠道商的網(wǎng)站上，盡管該網(wǎng)站需要有效的用戶名和密碼驗(yàn)證才能進(jìn)行訪問，但部分內(nèi)容已經(jīng)被谷歌搜索引擎編入索引。如此一來，所有人都能夠繞過登陸頁面，直接獲得對(duì)經(jīng)銷商數(shù)據(jù)庫的自有訪問權(quán)限。

據(jù)悉，這些數(shù)據(jù)是由一名安全研究人員發(fā)現(xiàn)的，但因害怕印度當(dāng)局的報(bào)復(fù)，他要求媒體在報(bào)道中匿名。

圖表 6 印度一個(gè)安全研究人員的私信

圖表 7 印度國有天然氣公司泄露的數(shù)據(jù)截圖

>>日本光學(xué)產(chǎn)品制造商Hoya遭受網(wǎng)絡(luò)攻擊

據(jù)外媒報(bào)道，日本光學(xué)產(chǎn)品制造商Hoya公司稱，公司在2月底遭受了一次嚴(yán)重的網(wǎng)絡(luò)攻擊，100多臺(tái)電腦感染了病毒，導(dǎo)致Hoya公司的用戶ID和密碼被黑客竊取。黑客還在攻擊期間試圖挖掘加密貨幣，工廠生產(chǎn)線因此停止了三天。

Hoya公司是日本最大的公司之一，也是最大的光學(xué)產(chǎn)品生產(chǎn)商，它的年收入超過41億美元。

Hoya表示，網(wǎng)絡(luò)攻擊發(fā)生后，一臺(tái)控制網(wǎng)絡(luò)的計(jì)算機(jī)服務(wù)器首先停機(jī)，工人們無法使用軟件來管理訂單和生產(chǎn)，因此工業(yè)產(chǎn)出比正常水平下降了大約40%。隨后，病毒也開始在其他電腦上感染，但最終在開始加密貨幣挖掘操作之前被成功阻止。

據(jù)稱攻擊已經(jīng)持續(xù)了三天，受影響的工廠都位于泰國，不過有關(guān)攻擊的詳細(xì)信息尚未公布。

2019年3月

>>挪威海德魯公司遭勒索軟件攻擊

3月19日，挪威海德魯（Norsk Hydro）公司舉行新聞發(fā)布會(huì)，稱3月18日午夜，公司遭到勒索軟件攻擊，致使主機(jī)死機(jī)，導(dǎo)致生產(chǎn)業(yè)務(wù)中斷。參會(huì)的NorCERT（挪威國家應(yīng)急響應(yīng)中心）代表稱此次攻擊事件是由一個(gè)名為LockerGoga的勒索軟件發(fā)起的，可能涉及到對(duì)海德魯公司的Active Directory系統(tǒng)的攻擊。

海德魯公司創(chuàng)建于1905年，主要經(jīng)營石油、能源、輕金屬（鋁、鎂）、石化產(chǎn)品、水電及設(shè)備、工業(yè)用化學(xué)品等，是世界最大的綜合性鋁業(yè)集團(tuán)之一。

盡管海德魯公司安全部門竭盡全力防止感染蔓延，但該惡意軟件最后造成公司40個(gè)國家/地區(qū)的170個(gè)不同站點(diǎn)，約22,000臺(tái)計(jì)算機(jī)被攻擊。公司在遭遇勒索軟件攻擊之后，被迫關(guān)閉了幾項(xiàng)金屬擠壓計(jì)劃。網(wǎng)絡(luò)攻擊事件影響了該公司多個(gè)業(yè)務(wù)區(qū)的運(yùn)營，嚴(yán)重的勒索軟件攻擊導(dǎo)致其全球計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)宕機(jī)，無法連接其鋁材擠壓解決方案業(yè)務(wù)的生產(chǎn)系統(tǒng)，結(jié)果致使數(shù)家工廠停工，造成了極其嚴(yán)重的運(yùn)營挑戰(zhàn)和經(jīng)濟(jì)損失。

公司發(fā)言人解釋稱，第一季度網(wǎng)絡(luò)攻擊的整體財(cái)務(wù)影響估計(jì)為4-4.5億挪威克朗，但其公司已經(jīng)與知名保險(xiǎn)公司建立了強(qiáng)大的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)。

公司證實(shí)，此次攻擊是受到了LockerGoga勒索軟件的影響，該軟件能夠加密帶有以下擴(kuò)展名的文件：doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。

圖表 8 挪威海德魯公司收到的勒索信

研究人員稱，LockerGoga似乎不具備像WannaCry或NotPetya等其他惡意軟件那樣的傳播能力。相反，LockerGoga會(huì)計(jì)算受感染系統(tǒng)的Wi-Fi或以太網(wǎng)網(wǎng)絡(luò)適配器的數(shù)量，然后嘗試通過命令行（netsh.exe interface set interface disable）禁用它們，以斷開系統(tǒng)與外部的連接。

Trend Micro研究人員表示，“LockerGoga在加密之后以及注銷當(dāng)前帳戶之前運(yùn)行此程序。這是一個(gè)值得注意的特征。LockerGoga通過更改帳戶的密碼將用戶排除在系統(tǒng)之外，因此其文件勒索反而顯得不那么重要。“

根據(jù)Unit 42的威脅情報(bào)副總裁Ryan Olson告訴Threatpost的信息，LockerGoga使用未記錄的Windows API調(diào)用進(jìn)行通信，其中涉及WS2_32.dll，一個(gè)在Microsoft Windows中提供對(duì)網(wǎng)絡(luò)連接支持的dll文件。這意味著開發(fā)者對(duì)Microsoft Windows很熟悉，足以了解如何使用這些未記錄的API，開發(fā)人員可能正在構(gòu)建一個(gè)大型的控制網(wǎng)絡(luò)，單純的勒索軟件中很少使用復(fù)雜的網(wǎng)絡(luò)功能。

思科威脅情報(bào)組織Talos的研究人員Liska表示，與其他復(fù)雜的勒索軟件不同，勒索通知中沒有支付贖金的說明，沒有比特幣或Monero錢包地址，但含有兩個(gè)電子郵件地址來聯(lián)系攻擊者。這些功能引發(fā)了更多關(guān)于黑客意圖的猜測(cè)，因?yàn)槔账鬈浖ǔＪ亲畈幌冗M(jìn)的惡意軟件形式之一，它們是否受到經(jīng)濟(jì)利益或其他因素的驅(qū)使？動(dòng)機(jī)是否隨著時(shí)間而改變？為什么他們提供一個(gè)電子郵件地址而不是通過更常用的加密貨幣來要求支付？

Liska告訴Threatpost，目前還沒有找到攻擊的原因，還沒有人將這次攻擊歸咎于誰，他們的目標(biāo)貌似不是贖金，像是在破壞國家安全，但目前沒有證據(jù)表明這一點(diǎn)。

>>委內(nèi)瑞拉全國性停電事件

據(jù)法新社報(bào)道，3月7日下午4點(diǎn)50分，委內(nèi)瑞拉首都加拉加斯在夜幕降臨之前陷入停電狀態(tài)。全市數(shù)千房屋停電停水，地鐵停止運(yùn)行，電話服務(wù)和網(wǎng)絡(luò)接入服務(wù)無法使用。令人驚恐的是，相似的情況同樣發(fā)生在了委內(nèi)瑞拉的其他城市，總統(tǒng)馬杜羅表示，這是拉丁美洲國家史上最嚴(yán)重的一場(chǎng)停電。

除了停水和各大公共設(shè)施及服務(wù)停止使用之外，委內(nèi)瑞拉還關(guān)閉了學(xué)校、辦公室和商店，而更多的恐慌和混亂則發(fā)生在醫(yī)院里。據(jù)法新社報(bào)道援引一位病患家屬稱，停電發(fā)生后，加拉加斯市中心JM de Rios兒童醫(yī)院的備用發(fā)電機(jī)未能啟動(dòng)。馬杜羅周六透露，有超過50%的醫(yī)院未能啟動(dòng)備用發(fā)電機(jī)。

當(dāng)?shù)貢r(shí)間3月7日，委內(nèi)瑞拉全國電力供應(yīng)公司Corpoelec報(bào)告稱，由于該國最大的電力設(shè)施——古里水電大壩遭到“破壞”，委內(nèi)瑞拉21個(gè)或23個(gè)州的停電情況。隨后，委內(nèi)瑞拉進(jìn)入全國搶修電力設(shè)施的狀態(tài)。

委內(nèi)瑞拉總統(tǒng)馬杜羅在3月9日說，今天，我們已經(jīng)恢復(fù)了該國70%的領(lǐng)土供電，但就在中午，敵對(duì)勢(shì)力又對(duì)我們其中一個(gè)電力設(shè)施發(fā)動(dòng)了網(wǎng)絡(luò)攻擊。在此之前，該設(shè)施運(yùn)行良好。由于這個(gè)原因，我們本來在9日下午三點(diǎn)左右應(yīng)該取得的所有進(jìn)展都被中斷了。馬杜羅指責(zé)美國對(duì)委內(nèi)瑞拉發(fā)動(dòng)了一場(chǎng)電力能源戰(zhàn)爭(zhēng)。

電力完整恢復(fù)幾乎花了一個(gè)星期的時(shí)間。

圖表 9 委內(nèi)瑞拉停電場(chǎng)景

根據(jù)俄羅斯衛(wèi)星通訊社3月26號(hào)消息，委內(nèi)瑞拉新聞和通信部長豪爾赫羅德里格斯表示，該國電力系統(tǒng)再次遭到襲擊。

>>美國Hexion和Momentive公司遭勒索軟件攻擊

3月12日，Hexion和Momentive公司于遭到勒索軟件的襲擊，根據(jù)Momentive一位匿名員工的說法，該攻擊是在3月12日開始的，由于此次攻擊，大量關(guān)鍵數(shù)據(jù)都從系統(tǒng)中丟失，公司的Windows計(jì)算機(jī)出現(xiàn)了藍(lán)屏錯(cuò)誤并且文件被加密。

Hexion和Momentive公司主要生產(chǎn)樹脂、有機(jī)硅和其他材料，由同一投資基金控制。

Momentive CEO發(fā)出的電子郵件中提到了由惡意軟件引起的“全球IT中斷”。根據(jù)電子郵件，該公司必須訂購數(shù)百臺(tái)新計(jì)算機(jī)來替換受感染的計(jì)算機(jī)。

Hexion發(fā)布了一份新聞稿，稱此攻擊為網(wǎng)絡(luò)安全事件，阻止了公司網(wǎng)絡(luò)中某些系統(tǒng)和數(shù)據(jù)的訪問。

根據(jù)Motherboard報(bào)道，該勒索軟件與之前對(duì)挪威海德魯公司的攻擊有許多相似之處，因此研究人員也將此次攻擊歸因于LockerGoga勒索軟件。

2019年4月

>>日本豐田汽車公司遭黑客入侵

北京時(shí)間4月1日晚間消息，據(jù)美國科技媒體ZDNet報(bào)道，豐田汽車今日公布了第二起數(shù)據(jù)泄露事件，這也是該公司在過去五周內(nèi)承認(rèn)的第二起網(wǎng)絡(luò)安全事件。

豐田汽車表示，黑客入侵了其IT系統(tǒng)，并訪問了幾家銷售子公司的數(shù)據(jù)。這些子公司包括豐田東京銷售控股公司、東京汽車、東京豐田、豐田東京卡羅拉、豐田東京銷售網(wǎng)絡(luò)、雷克薩斯Koishikawa Sales公司、Jamil Shoji（雷克薩斯Nerima）和豐田西東京卡羅拉。

公司表示，黑客訪問的服務(wù)器存儲(chǔ)了多達(dá)310萬名客戶的銷售信息。豐田汽車稱，目前正在調(diào)查此事，以確定黑客是否泄露了他們可以訪問的任何數(shù)據(jù)。

豐田汽車強(qiáng)調(diào)，客戶的財(cái)務(wù)細(xì)節(jié)并未存儲(chǔ)在被黑客攻擊的服務(wù)器上。至于黑客可能訪問了哪些類型的數(shù)據(jù)，豐田汽車并未披露。

豐田汽車發(fā)言人今日向媒體表示：“我們向所有使用豐田和雷克薩斯汽車的客戶表示歉意。我們認(rèn)真對(duì)待這一問題，并將在經(jīng)銷商和整個(gè)豐田集團(tuán)中徹底實(shí)施信息安全措施。”

圖表 10 日本豐田越南分公司遭受入侵攻擊

>>德國化工制藥企業(yè)拜耳公司遭黑客入侵

4月初，據(jù)德國電視一臺(tái)的"每日新聞"（tagesschau.de）報(bào)道，拜耳公司（Bayer AG）向外證實(shí)，有黑客入侵了該公司的網(wǎng)絡(luò)系統(tǒng)。拜耳稱，公司的網(wǎng)絡(luò)安全中心在2018年初發(fā)現(xiàn)了一種名為"Winnti"的竊密病毒，并開始針對(duì)其實(shí)施防御措施，但無法溯源獲知黑客最早何時(shí)進(jìn)入系統(tǒng)。德國媒體報(bào)道，此次出擊的是一個(gè)目標(biāo)明確、十分專業(yè)的黑客小組。

德國網(wǎng)絡(luò)安全組織(DCSO)的技術(shù)負(fù)責(zé)人羅爾（Andreas Rohr）對(duì)德廣聯(lián)表示，一旦確認(rèn)公司網(wǎng)絡(luò)系統(tǒng)受到Winnti惡意程序入侵，就清楚地表明，該企業(yè)已成為有針對(duì)性的網(wǎng)絡(luò)攻擊的目標(biāo)。DCSO是包括拜耳在內(nèi)的多家德國大型企業(yè)于2015年共同成立的，任務(wù)之一是調(diào)查網(wǎng)絡(luò)經(jīng)濟(jì)間諜活動(dòng)。羅爾補(bǔ)充說，Winnti小組的發(fā)展速度很快。

據(jù)拜耳稱，Winnti小組的黑客以企業(yè)內(nèi)網(wǎng)（Intranet）與互聯(lián)網(wǎng)（Internet）的接點(diǎn)以及授權(quán)系統(tǒng)作為入侵點(diǎn)，作案方式非常專業(yè)。但拜耳稱，目前沒有跡象表明已發(fā)生了數(shù)據(jù)失竊。

在最早發(fā)現(xiàn)該惡意軟件時(shí)，該公司沒有馬上刪除它，而是選擇對(duì)軟件進(jìn)行秘密監(jiān)視，以嘗試確定其目的以及負(fù)責(zé)植入惡意代碼的人員。

到2019年3月底，該惡意軟件被徹底刪除，公司的網(wǎng)絡(luò)系統(tǒng)已經(jīng)得到清理徹查，根據(jù)拜耳掌握的情況，入侵者尚未采取積極行動(dòng)，盜取數(shù)據(jù)信息。

>>美國自來水公司Odintsovsky Vodokanal遭勒索軟件攻擊

4月15日，美國自來水公司Odintsovsky Vodokanal被勒索軟件攻擊。該惡意軟件對(duì)受感染設(shè)備和網(wǎng)絡(luò)共享上的數(shù)據(jù)都進(jìn)行了加密，危及到公司的技術(shù)文檔，客戶數(shù)據(jù)以及帳單系統(tǒng)。

攻擊者的目標(biāo)是讓公司付費(fèi)以恢復(fù)其數(shù)據(jù)，但奧丁佐夫斯基沃多卡納爾拒絕支付贖金，并向卡巴斯基尋求幫助。在分析了加密的數(shù)據(jù)樣本和惡意軟件本身之后，卡巴斯基專家找到了一種方法來恢復(fù)所有信息，并在幾個(gè)小時(shí)內(nèi)將解密軟件發(fā)送給了受害公司。

攻擊者通過Windows操作系統(tǒng)中內(nèi)置的標(biāo)準(zhǔn)“遠(yuǎn)程桌面協(xié)議”服務(wù)滲透到組織內(nèi)的網(wǎng)絡(luò)。攻擊者能夠遠(yuǎn)程破解該帳戶的密碼，并在系統(tǒng)上獲得授權(quán)。接下來，他們以手動(dòng)模式在受感染計(jì)算機(jī)上執(zhí)行了惡意軟件，然后惡意軟件開始對(duì)文件進(jìn)行加密。

根據(jù)卡巴斯基的數(shù)據(jù)分析，這種加密惡意軟件的大多數(shù)受害者位于俄羅斯。

>>歐洲重型汽車制造企業(yè)Aebi Sschmidt遭勒索軟件攻擊

4月25日，總部位于瑞士的專用汽車制造商Aebi Schmidt向客戶和業(yè)務(wù)合作伙伴通報(bào)說，由于網(wǎng)絡(luò)攻擊，其部分業(yè)務(wù)可能會(huì)中斷。

Aebi Sschmidt是歐洲最大的制造企業(yè)之一，主要業(yè)務(wù)是為建造機(jī)場(chǎng)和制造公路養(yǎng)護(hù)車輛。據(jù)知情人士稱，公司在網(wǎng)絡(luò)安全事件發(fā)生后中斷了運(yùn)營。該公司整個(gè)國際網(wǎng)絡(luò)的系統(tǒng)都崩潰了，其中受到破壞最嚴(yán)重的是瑞士總部。此外，公司的電子郵件服務(wù)器也受到了嚴(yán)重影響。

事件曝光幾天后，該公司一名發(fā)言人通過社交媒體發(fā)布了一條消息，稱“部分系統(tǒng)因安全事故而中斷”，主要問題是服務(wù)器企業(yè)郵件發(fā)生故障。消息還證實(shí)了其他系統(tǒng)受到了一些損害。但發(fā)言人沒有闡述細(xì)節(jié)，只稱專家正在努力恢復(fù)公司網(wǎng)絡(luò)環(huán)境，這可能需要較長的時(shí)間。

盡管該公司尚未公開承認(rèn)遭遇勒索軟件攻擊，但該公司一些員工已證實(shí)了這一點(diǎn)。此外，知情人士還提到，該公司的許多系統(tǒng)仍然無法運(yùn)行。此次攻擊的相關(guān)細(xì)節(jié)仍未公布，該網(wǎng)絡(luò)攻擊事件將對(duì)Aebi Sschmidt造成多少財(cái)務(wù)損失仍不得而知。

2019年6月

>>美國飛機(jī)零部件供應(yīng)商ASCO遭勒索軟件攻擊

6月7日，勒索軟件最先襲擊了ASCO比利時(shí)公司的Zaventem工廠，由于被勒索軟件感染導(dǎo)致IT系統(tǒng)癱瘓、工廠無法運(yùn)營，該公司目前已有1000名工人休假。另外，ASCO也關(guān)閉了德國、加拿大和美國的工廠，位于法國和巴西的非生產(chǎn)辦事處未受影響。

ASCO隸屬于世界500強(qiáng)之一的美國艾默生集團(tuán)，是世界上最重要的飛機(jī)零部件設(shè)計(jì)供應(yīng)商之一。該公司的一些客戶包括航空運(yùn)輸和軍事領(lǐng)域的大腕，如空中客車公司，波音公司，龐巴迪公司和洛克希德馬丁公司。ASCO制造的零件用于F-35戰(zhàn)斗機(jī)，空中客車A400M軍用飛機(jī)，空中客車和波音商用客機(jī)以及阿麗亞娜太空發(fā)射火箭等。

目前還不清楚ASCO是否已支付贖金以恢復(fù)其系統(tǒng)的訪問權(quán)限，從備份中恢復(fù)，或從頭開始購買新系統(tǒng)和重建其計(jì)算機(jī)網(wǎng)絡(luò)。

>>德國寶馬公司被黑客組織滲透事件

據(jù)外媒報(bào)道，有著國家級(jí)背景的黑客組織滲透進(jìn)入寶馬公司的計(jì)算機(jī)網(wǎng)絡(luò)。針對(duì)寶馬汽車公司的攻擊始于2019年春，6月份時(shí)，寶馬公司將有關(guān)計(jì)算機(jī)進(jìn)行了脫網(wǎng)，并正式對(duì)外公布。

在近期的一次采訪中，寶馬公司相關(guān)負(fù)責(zé)人表示：

“我們已經(jīng)對(duì)結(jié)構(gòu)和流程進(jìn)行了進(jìn)一步防范，可以最大程度減少未經(jīng)授權(quán)的外部人士訪問我們系統(tǒng)的風(fēng)險(xiǎn)，同時(shí)，在發(fā)生某些事件時(shí)，我們能快速進(jìn)行檢測(cè)、重建和恢復(fù)。”

寶馬公司在發(fā)現(xiàn)入侵行為時(shí)，并沒有立刻采取強(qiáng)硬措施，而是決定嵌入其植入系統(tǒng)的一個(gè)名為“ Cobalt Strike”的工具，這個(gè)工具可以方便地實(shí)現(xiàn)遠(yuǎn)程投屏和控制計(jì)算機(jī)。

寶馬公司發(fā)現(xiàn)，該黑客組織應(yīng)是從BR Recherche攻擊了計(jì)算機(jī)。其活躍的目的可能是收集更多信息，例如各地汽車銷量的報(bào)告。

據(jù)專家分析，攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”（Ocean Lotus）。繼關(guān)鍵基礎(chǔ)設(shè)施之后，汽車工業(yè)也成為國家級(jí)APT組織的重點(diǎn)攻擊目標(biāo)。

作為“海蓮花”此次行為的一部分，韓國汽車制造商現(xiàn)代汽車的網(wǎng)絡(luò)也遭到了攻擊。目前沒有有關(guān)此特定事件的詳細(xì)信息，現(xiàn)代公司也拒絕提供任何評(píng)論。

圖表 11 安全專家的分析

>>美國被披露長期監(jiān)控俄羅斯電力系統(tǒng)

6月15日，《紐約時(shí)報(bào)》援引美國現(xiàn)任和前任政府官員的話稱，美國正在加大對(duì)俄羅斯電網(wǎng)的網(wǎng)絡(luò)攻擊，“至少從2012年開始，美國已將偵查探測(cè)器置入俄羅斯電網(wǎng)的控制系統(tǒng)。”

圖表 12 紐約時(shí)報(bào)報(bào)道截圖

《紐約時(shí)報(bào)》稱，美國此前從未嘗試在俄羅斯電網(wǎng)內(nèi)部植入惡意程序。此次攻擊可視為一次警告，也在告訴世人，如果美俄之間產(chǎn)生嚴(yán)重沖突，那么美方將會(huì)采取網(wǎng)絡(luò)攻擊。

報(bào)道稱，兩名白宮高官表示，美國總統(tǒng)特朗普本人尚未收到此次行動(dòng)的任何細(xì)節(jié)匯報(bào)。五角大樓和美國情報(bào)部門官員稱，他們非常猶豫是否要將對(duì)俄采取行動(dòng)的細(xì)節(jié)告訴特朗普，因?yàn)樗麄儞?dān)心特朗普的反應(yīng)，他可能會(huì)推翻行動(dòng)，或轉(zhuǎn)而與外交人員商議此事。

過去三個(gè)月內(nèi)，《紐約時(shí)報(bào)》采訪了一批白宮現(xiàn)任和前任高官，他們紛紛表示美國將計(jì)算機(jī)代碼植入俄羅斯電網(wǎng)和其他目標(biāo)可以視作美國對(duì)俄采取更具攻擊性的戰(zhàn)略。

據(jù)報(bào)道，美國國會(huì)去年通過軍事授權(quán)法案，此次侵入俄羅斯電網(wǎng)似乎正是在新的法律程序下開展的。根據(jù)新法，美國防長可以在沒有總統(tǒng)特別批準(zhǔn)的前提下授權(quán)開展網(wǎng)絡(luò)空間“秘密軍事行動(dòng)”。目前，特朗普政府不愿評(píng)論此次行動(dòng)是否屬于新法規(guī)定范疇。不過美國官員表示，美軍偵查俄羅斯電網(wǎng)至少可以追溯到2012年。

美國國家安全委員會(huì)官員拒絕評(píng)論此事。

>>阿根廷大規(guī)模停電事件

6月16日早7點(diǎn)左右，阿根廷發(fā)生大規(guī)模停電，首都布宜諾斯艾利斯的交通信號(hào)燈停止運(yùn)作，地鐵、城際鐵路、公交車等公共交通全部停運(yùn)，鄰國烏拉圭、巴西、智利和巴拉圭部分地區(qū)的電力也中斷。

阿根廷能源部長洛佩特吉在推特上說：“沿海輸電系統(tǒng)早上發(fā)生故障并導(dǎo)致全國停電。目前我們無法確定到底出了什么問題。這是史無前例的事件，我們一定會(huì)徹查到底。”他表示，“雖然網(wǎng)絡(luò)攻擊不是主要假設(shè)，但不能排除這個(gè)可能性。”

16日晚，阿根廷能源部的聲明稱：“根據(jù)截止20時(shí)15分的數(shù)據(jù)，已恢復(fù)總需求量的98%。”從事該國電力分配的兩家公司Edesur和Edenor也發(fā)布消息稱，已恢復(fù)了為全部用戶提供服務(wù)。此外，烏拉圭國家電力公司發(fā)布消息稱，“已恢復(fù)早上發(fā)生故障期間中斷的98.5%服務(wù)。不過，恢復(fù)工作將持續(xù)至凌晨。“

能源部長Lopetegui表示對(duì)事件原因“不敢提出任何假設(shè)”，因?yàn)樗形凑莆账斜匾畔?。Lopetegui表示，這個(gè)“非同尋常”的事故本不該發(fā)生，“從簡(jiǎn)單故障發(fā)生的那一刻起，到整個(gè)國家的電網(wǎng)在沒有人為干預(yù)的情況下完全斷電，只有不到一秒鐘的時(shí)間，而本該隔離的故障部分卻沒有自動(dòng)切斷。這在阿根廷歷史上從未發(fā)生過?，F(xiàn)在的問題是要搞明白為什么一個(gè)明明有能力實(shí)現(xiàn)部分隔離的系統(tǒng)會(huì)出現(xiàn)失靈？”

事故原因有待查明，阿根廷政府表示對(duì)周日停電造成的經(jīng)濟(jì)損失目前仍無法估計(jì)。

2019年7月

>>美國紐約停電事件

當(dāng)?shù)貢r(shí)間7月13日晚，紐約曼哈頓發(fā)生大規(guī)模停電，包括中心地帶的時(shí)代廣場(chǎng)、地鐵站、電影院、百貨公司等均陷入一片漆黑。據(jù)悉，此次停電造成大約4.2萬名居民斷電，還有多人被困電梯。停電發(fā)生在晚上7點(diǎn)前，當(dāng)時(shí)氣溫大約30攝氏度。紐約市長白思豪在推特上表示，紐約應(yīng)急管理辦公室正在同紐約市警察局及紐約市消防局等方面通力合作，應(yīng)對(duì)此次停電事故。7月13日下午6點(diǎn)45分左右一直到午夜前，從紐約時(shí)報(bào)廣場(chǎng)到百老匯的近40個(gè)街區(qū)里，千萬人受到停電影響。

圖表 13 紐約曼哈頓停電場(chǎng)景

據(jù)美國?？怂剐侣剤?bào)道，美國最大的私人能源公司之一，聯(lián)合愛迪生在7月14日發(fā)表聲明稱，此次大規(guī)模停電與一次“重大電力傳輸”有關(guān)。

聯(lián)合愛迪生公司總裁蒂姆·考利（Tim Cawley）表示，停電與該公司電網(wǎng)的需求量無關(guān)，并補(bǔ)充稱，隨著氣溫升高，該公司已做好準(zhǔn)備應(yīng)對(duì)夏季用電高峰。

聯(lián)合愛迪生公司稱將盡力調(diào)查此事，以確定事故根本原因所在。該公司發(fā)布的新聞稿內(nèi)表示，“在接下來的幾天或幾周內(nèi)，我們的工程師和相關(guān)人員將仔細(xì)檢查與此次事件有關(guān)的設(shè)備，并進(jìn)行相應(yīng)的數(shù)據(jù)分析，成果將會(huì)與公眾分享。”

當(dāng)?shù)貢r(shí)間7月15日，紐約愛迪生聯(lián)合公司官方回復(fù)：13日晚的紐約市的大面積停電是變電站繼電保護(hù)系統(tǒng)失靈引起的。

巧合的是，美國媒體報(bào)道說，7月13日正好是紐約1977年大停電42周年紀(jì)念日。

另外有美方報(bào)導(dǎo)稱：伊朗革命衛(wèi)隊(duì)信息戰(zhàn)部隊(duì)成功的突破了美國信息戰(zhàn)部隊(duì)的圍堵，闖入了紐約市三十多個(gè)變電站的控制中心，并對(duì)控制中心進(jìn)行信息站破壞，導(dǎo)致了紐約全城大約4個(gè)小時(shí)的停電。

美國軍方也有人士透露，革命衛(wèi)隊(duì)的信息戰(zhàn)部隊(duì)設(shè)法滲透，甚至可以遠(yuǎn)程操控美國的變電站控制系統(tǒng)。在大規(guī)模停電發(fā)生前，其中一個(gè)變電站控制中心的操作人員發(fā)現(xiàn)顯示器上的光標(biāo)出現(xiàn)了抖動(dòng)現(xiàn)象，而當(dāng)時(shí)他并沒有操縱鼠標(biāo)，當(dāng)他試圖控制光標(biāo)時(shí)已經(jīng)晚了，鼠標(biāo)已經(jīng)不受控，隨即點(diǎn)擊了總開關(guān)，自己拉黑電網(wǎng)。

美軍信息站專家Robert Lee表示：“這是一次蓄謀已久并深思熟慮的高手作案。首先，伊朗的“網(wǎng)絡(luò)軍團(tuán)”們將引導(dǎo)病毒引入美國變電站的計(jì)算機(jī)內(nèi)。為此，他們將病毒軟件隱藏在電子郵件中，只要美國電站操作員打開時(shí)就會(huì)自動(dòng)啟動(dòng)。“

>>烏克蘭某核電站發(fā)現(xiàn)了挖礦設(shè)備

7月10日，在南烏克蘭核電廠SE NAE Energoatom的中央控制面板行政大樓104號(hào)辦公室被進(jìn)行了授權(quán)搜查，發(fā)現(xiàn)并沒收了計(jì)算機(jī)設(shè)備和部件。被沒收的設(shè)備包括六臺(tái)Radeon RX 470 GPU視頻卡，一塊主板，電源和延長線，一臺(tái)USB和硬盤，以及安裝在發(fā)電廠的冷卻裝置。

同一天，在該核電廠的另一個(gè)地方的突擊檢查中發(fā)現(xiàn)了更多的數(shù)字貨幣采礦設(shè)備。該單位沒收了16個(gè)視頻卡，一個(gè)系統(tǒng)單元，其中包括軍用單元的庫存號(hào)，七個(gè)硬盤，兩個(gè)固態(tài)硬盤，一個(gè)USB閃存盤和一個(gè)路由器。

這些計(jì)算機(jī)設(shè)備并未在核電廠網(wǎng)絡(luò)內(nèi)獲得授權(quán)，組成了一個(gè)可以訪問互聯(lián)網(wǎng)的單獨(dú)的局域網(wǎng)，并用于接收加密貨幣。此外，SBU員工在SUE NPP的其他場(chǎng)所發(fā)現(xiàn)并沒收了CTC聯(lián)合媒體轉(zhuǎn)換器，光纖和網(wǎng)絡(luò)電纜，理論上這些電纜都不應(yīng)該出現(xiàn)在這些場(chǎng)所內(nèi)。

該電廠由國有企業(yè)Energoatom運(yùn)營，注冊(cè)為國家機(jī)密，這意味著其場(chǎng)地內(nèi)不允許使用外部計(jì)算設(shè)備。與互聯(lián)網(wǎng)進(jìn)行外聯(lián)挖礦，可能導(dǎo)致破壞了核設(shè)施的安全，并最終泄露核電站物理保護(hù)系統(tǒng)的機(jī)密信息。

2019年8月21日，烏克蘭安全局(SBU)因此事發(fā)起逮捕行動(dòng)，此次事故被列為國家機(jī)密泄露事故。據(jù)當(dāng)?shù)孛襟w報(bào)道，由于有人懷疑安全發(fā)電廠數(shù)據(jù)泄漏，當(dāng)局已啟動(dòng)刑事訴訟程序。

>>委內(nèi)瑞拉再次大范圍停電事件

當(dāng)?shù)貢r(shí)間7月22日，委內(nèi)瑞拉又一次遭遇大范圍停電，據(jù)路透社報(bào)道，委內(nèi)瑞拉的23個(gè)州中有一半以上受到了停電影響。

停電發(fā)生約1小時(shí)后，委新聞和通信部長羅德里格斯在委內(nèi)瑞拉國家電視臺(tái)發(fā)表講話時(shí)表示，初步調(diào)查結(jié)果顯示，造成本次大規(guī)模停電的原因是委供電系統(tǒng)中最主要的古里水電站遭到電磁攻擊。委內(nèi)瑞拉電力供應(yīng)逾6成來自水力發(fā)電，而絕大多數(shù)電量由古里水電站提供。

圖表 14 委內(nèi)瑞拉停電區(qū)域

>>南非電力公司City Power遭勒索軟件攻擊

7月25號(hào)，南非約翰內(nèi)斯堡City Power 電力公司遭勒索軟件攻擊，導(dǎo)致一些居民區(qū)的電力中斷。由 @CityPowerJhb 官方 Twitter 賬號(hào)公布的信息可知，這家企業(yè)負(fù)責(zé)為當(dāng)?shù)鼐用裉峁╊A(yù)付費(fèi)電力供應(yīng)，但惡意軟件加密了該公司的數(shù)據(jù)庫、內(nèi)部網(wǎng)絡(luò)、Web Apps、以及官方網(wǎng)站。

該公司數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用程序等，遭勒索軟件加密而無法運(yùn)作。這也導(dǎo)致客戶無法透過網(wǎng)站買電、賣電、上傳發(fā)票及存取公司網(wǎng)站。雖然電廠緊急調(diào)派人力，但雪上加霜的是，電廠的派工維修系統(tǒng)也無法運(yùn)作，讓停電修復(fù)的作業(yè)受到影響，造成用戶抱怨電廠沒有備援機(jī)組，而不能在這段期間取代供電，斷電時(shí)間長達(dá)12小時(shí)。

圖表 15 CityPowerJhb官方Twitter賬號(hào)公布的信息

2019年8月

>>我國部分醫(yī)療電力系統(tǒng)遭勒索軟件攻擊

騰訊安全御見威脅情報(bào)中心通過蜜罐系統(tǒng)監(jiān)測(cè)到Ouroboros勒索病毒在國內(nèi)有部分傳播，監(jiān)測(cè)數(shù)據(jù)表明，已有湖北、山東等地的醫(yī)療、電力系統(tǒng)的電腦遭遇該勒索病毒攻擊。經(jīng)分析發(fā)現(xiàn)，該病毒的破壞僅在部分有限的情況可解密恢復(fù)，但在病毒按預(yù)期運(yùn)行，基礎(chǔ)設(shè)施完善情況下，暫無法解密。

Ouroboros勒索病毒首次出現(xiàn)于2019年8月中旬，目前發(fā)現(xiàn)其主要通過垃圾郵件渠道傳播，由于其PDB路徑中包含Ouroboros故因此得名，該病毒加密文件后會(huì)添加 .Lazarus擴(kuò)展后綴。

2019年9月

>>印度核電公司遭受朝鮮黑客攻擊

新聞社IANS  9月初的報(bào)道稱，Kudankulam核電站的兩個(gè)反應(yīng)堆之一已中止運(yùn)行，惡意軟件Dtrack的變體感染了核電站的管理網(wǎng)絡(luò)，可能包括竊取設(shè)施的鍵盤記錄、檢索瀏覽器歷史記錄，以及列出正在運(yùn)行的進(jìn)程等，并不確定是否應(yīng)能想到用于控制核反應(yīng)堆的關(guān)鍵內(nèi)網(wǎng)。

該核電站主要由俄羅斯設(shè)計(jì)和提供反應(yīng)堆機(jī)組，為印度南部電網(wǎng)提供電力。這座核電廠已成為印俄最大的合作項(xiàng)目之一。

圖表 16 印度庫丹庫拉姆核電站

Pukhraj Singh是一名印度的威脅情報(bào)分析師。據(jù)他透露，9月4日以前，第三方機(jī)構(gòu)發(fā)現(xiàn)針對(duì)印度核電廠的網(wǎng)絡(luò)攻擊活動(dòng)，并告知了他，于9月4日通報(bào)了英國NCSC機(jī)構(gòu)，并在9月7日對(duì)外提起了此事件

圖表 17 Pukhraj Singh披露印度核電站事故

10月28日，某Twitter用戶披露了一個(gè)名為DTrack的病毒樣本，并且指出其內(nèi)嵌了疑似與印度核電廠相關(guān)的用戶名KKNPP，隨后引發(fā)熱議。

10月29日，各大新聞媒體公開披露該事件，并且印度安全人員對(duì)歷史情況進(jìn)行一些解釋和說明，并且披露攻擊者已經(jīng)獲取核電廠內(nèi)部域控級(jí)別的訪問權(quán)限。

最初，核電站方面否認(rèn)他們?cè)馐芰巳魏螑阂廛浖腥?，發(fā)表聲明將這些推文描述為“虛假信息”。

10月30日，這一被官方稱之為“虛假消息”的事件卻被自己推翻。他們?cè)诹硪环萋暶髦谐姓J(rèn)核電站確實(shí)感染了黑客組織創(chuàng)建的惡意軟件，該軟件由黑客組織Lazarus Group開發(fā)，屬于Dtrack后門木馬的變體。

但是，核電站方面也強(qiáng)調(diào)，朝鮮惡意軟件僅感染了其管理網(wǎng)絡(luò)，但未到達(dá)其關(guān)鍵的內(nèi)部網(wǎng)絡(luò)，這些內(nèi)部網(wǎng)絡(luò)用于控制發(fā)電廠的核反應(yīng)堆。言外之意，朝鮮攻擊并非造成核反應(yīng)堆“停工”的原因。

韓國Issue Makers Lab的研究人員說，攻擊者為來自朝鮮的Kimsuky組織，并透露稱，攻擊印度核能部門的一名黑客正在使用僅在朝鮮生產(chǎn)和使用的朝鮮自有品牌的計(jì)算機(jī)。一名黑客使用的IP來自朝鮮的平壤。而朝鮮黑客知道印度工廠的IP網(wǎng)絡(luò)。他們滲透到了工廠內(nèi)部，但沒有發(fā)送破壞性代碼。

Issue Maker Lab發(fā)現(xiàn)，黑客使用的計(jì)算機(jī)是在朝鮮生產(chǎn)且僅在朝鮮使用的型號(hào)。這幫助他們獲得了機(jī)器的MAC地址以及IP地址的詳細(xì)信息。兩者都帶有朝鮮簽名。他們的調(diào)查還發(fā)現(xiàn)，惡意軟件代碼中使用了朝鮮語。

美國《原子科學(xué)家公報(bào)》日前報(bào)道，雖然庫丹庫拉姆核電站反應(yīng)堆運(yùn)行沒有受到影響，但這一事件再次發(fā)出警告，人類社會(huì)兩個(gè)最大的安全風(fēng)險(xiǎn)，即網(wǎng)絡(luò)攻擊與核威懾，正在發(fā)生危險(xiǎn)的“碰撞”，其嚴(yán)重后果，完全可能演變?yōu)闊o法控制的人禍。

>>英國大范圍停電事件

路透社報(bào)道，9月9日晚高峰，英國遭遇大范圍停電，地鐵停運(yùn)、機(jī)場(chǎng)癱瘓、交通信號(hào)燈熄滅，一些醫(yī)院甚至備用發(fā)電機(jī)熄火。按照英國交通警察的說法，這次停電及其造成的影響“史無前例”。

英國英格蘭、威爾士等地區(qū)遭遇停電，首都倫敦多個(gè)區(qū)域未能幸免。雖然停電時(shí)長最多1個(gè)小時(shí)，但是停電造成的“混亂狀況”預(yù)期會(huì)持續(xù)一整天。

停電恰逢周五晚，英國媒體說“這是一周中最繁忙的時(shí)段之一”，大量民眾剛剛結(jié)束一周的工作，搭乘地鐵、城際列車或飛機(jī)回家度周末。

英國這次停電規(guī)模較大，暫不清楚總共多少民眾受影響。西部電力公司估算，這家電企的大約50萬名用戶受停電影響。北部電力公司說，這家電企的大約11萬名用戶遭遇停電，東北部城市紐卡斯?fàn)柕臋C(jī)場(chǎng)和地鐵運(yùn)行受影響。

英國國家電力公司披露，當(dāng)天停電與兩臺(tái)發(fā)電機(jī)出現(xiàn)故障相關(guān)，故障已經(jīng)排除。

>>伊朗石油和金融設(shè)施遭受大范圍攻擊

當(dāng)?shù)貢r(shí)間9月22日晚，伊朗遭遇了一次大規(guī)模襲擊，整個(gè)伊朗的網(wǎng)絡(luò)系統(tǒng)遭遇了不明來源的大規(guī)模攻擊，其中重點(diǎn)攻擊目標(biāo)在于伊朗的石油和金融設(shè)施，對(duì)此毫無準(zhǔn)備的伊朗，受到了慘重?fù)p失。在短時(shí)間之內(nèi)，其金融和石油設(shè)施迅速癱瘓，一切正常交易都無法進(jìn)行下去。好在德黑蘭方面及時(shí)向俄羅斯請(qǐng)求援助，俄羅斯派遣了大量網(wǎng)絡(luò)戰(zhàn)專家遠(yuǎn)程指揮伊朗網(wǎng)絡(luò)安全部門反擊，才度過了這一劫。

根據(jù)伊朗高層不愿透露姓名的官員表示，目前俄羅斯已經(jīng)確定攻擊來源正是美國中央情報(bào)局。中情局希望用這種手段，讓伊朗暴露出自己的弱點(diǎn)，最終達(dá)到使得伊朗方面屈膝投降的目的。

近日沙特油田被炸，美國指責(zé)伊朗在背后搗鬼，揚(yáng)言伊朗要為其負(fù)責(zé)。就沙特油田事件，美伊關(guān)系再度惡化，所以美國在幕后支持這次網(wǎng)絡(luò)攻擊行動(dòng)的可能性極大。

>>德國汽車零部件制造商境外工廠遭惡意軟件攻擊

9月25號(hào)，總部位于德國的汽車零部件和國防解決方案提供商Rheinmetall宣布，由于受到惡意軟件攻擊，其在美國，巴西和墨西哥的汽車工廠的生產(chǎn)受到了干擾。

該攻擊于9月24日晚上開始，攻擊涉及一個(gè)未知的惡意軟件。該公司表示，該事件導(dǎo)致該惡意軟件進(jìn)入IT系統(tǒng)的工廠受到“重大破壞”。

該公司認(rèn)為，從攻擊中恢復(fù)需要花費(fèi)兩到四周的時(shí)間，并且估計(jì)從第二次攻擊開始，該事件將導(dǎo)致每周損失300萬歐元（330萬美元）至400萬歐元（440萬美元）。該公司已向客戶保證，它將能夠在短期內(nèi)交付訂單。

攻擊主要針對(duì)美洲（美國，墨西哥，巴西）的系統(tǒng)，而僅針對(duì)汽車系統(tǒng)。該地區(qū)以外和國防領(lǐng)域的其他系統(tǒng)目前都沒有受到影響。

2019年10月

>>伊朗阿巴丹煉油廠起火

10月20日，國際知名刊物作者，英國廣播公司（BBC）通訊員Babak Taghvaee在Twitter上附帶視頻發(fā)布伊朗阿巴丹煉油廠起火消息，并稱火災(zāi)是由確認(rèn)的網(wǎng)絡(luò)攻擊所為。

阿巴丹（Abadan）煉油廠建于1912年，是伊朗同類煉油廠中的最大的一家，也曾經(jīng)是世界上最大的煉油廠，并且目前和中方企業(yè)存在合作關(guān)系。

圖表 18 Babak Taghvaee發(fā)布的消息和視頻

很巧的是，就在前幾日的10月16日，路透社援引美國兩名官員話稱“美在對(duì)伊朗發(fā)起秘密網(wǎng)絡(luò)攻擊行動(dòng)，以還擊9月14日沙特石油被襲之恨”。

圖表 19 路透社發(fā)布的美國官員對(duì)伊朗發(fā)起網(wǎng)絡(luò)攻擊的報(bào)道

16日的國防會(huì)議上，美國軍方向特朗普列出多項(xiàng)打擊伊朗的選項(xiàng)，包含攻擊位于伊朗阿巴丹的全球最大煉油廠之一，又或位于哈爾克島的伊朗最大石油出口設(shè)施，可重創(chuàng)伊朗的石油生產(chǎn)及出口能力。

一向忠實(shí)支持特朗普政策的共和黨參議員格雷厄姆，形容襲擊沙特石油設(shè)施屬“戰(zhàn)爭(zhēng)行動(dòng)”，美國需果斷回應(yīng)，包含考慮攻擊伊朗煉油廠。然而，多名共和黨參議員包含參院外交委員會(huì)主席里施，則敦促政府避免倉促?zèng)Q定。可見，伊朗阿巴丹此前就被列為攻擊目標(biāo)。

2019年11月

>>墨西哥國有石油公司Pemex遭勒索軟件攻擊

11月10日，墨西哥國有石油公司Pemex遭受到勒索軟件攻擊，被索要565 個(gè)比特幣，約490萬美元的贖金。不過Pemex表示，只有不到5%的電腦受到了影響。不過根據(jù)內(nèi)部備忘錄的說法，要求所有員工切勿打開電腦，在本周晚些時(shí)候再重新開機(jī)，但拒絕按攻擊者的要求在48小時(shí)內(nèi)支付贖金。

在隨后的推特聲明中，Pemex表示他們的運(yùn)作一切正常，燃料生產(chǎn)、供應(yīng)和庫存沒有受到影響。

最初有報(bào)道稱，Pemex受到了Ryuk勒索軟件的影響，但泄露出的贖金信息和Tor付款網(wǎng)站都證實(shí)這是DoppelPaymer勒索軟件，屬于BitPaymer勒索軟件的變種。

在安全研究人員Pollo分享的贖金信息截圖中，我們可以清楚地識(shí)別出DoppelPaymer，這也和BitPaymer的贖金信息非常相似。

圖表 20 Pemex收到的勒索信截圖

2019年12月

>>英國核電站遭受攻擊

12月2號(hào)，電訊報(bào)和都市晨報(bào)報(bào)道，一份周末披露的報(bào)告稱英國一家核電廠遭到了網(wǎng)絡(luò)攻擊，目前仍然沒有恢復(fù)正常運(yùn)營。

圖表 21 英國核電廠遭網(wǎng)絡(luò)攻擊

事件原委由telegraph公司提供，該媒體稱：GCHQ的子公司國家網(wǎng)絡(luò)安全中心（NCSC）一直在秘密地向英國一家核電公司提供援助，因?yàn)樵摴驹谠馐芫W(wǎng)絡(luò)攻擊后一直難以恢復(fù)。

核退役局（NDA）使用信息自由法獲得的一份報(bào)告提到，核電公司的相關(guān)工作人員意識(shí)到核發(fā)電廠的一項(xiàng)重要業(yè)務(wù)已受到網(wǎng)絡(luò)攻擊，造成負(fù)面影響，目前必須依靠NCSC的專業(yè)知識(shí)來應(yīng)對(duì)，幫助業(yè)務(wù)恢復(fù)。該文件來自2019年3月13日的董事會(huì)委員會(huì)會(huì)議，這是首次成功證明對(duì)英國一家核公司進(jìn)行網(wǎng)絡(luò)攻擊的證據(jù)。

目前尚不清楚網(wǎng)絡(luò)攻擊造成了什么損害或網(wǎng)絡(luò)攻擊是否使公共安全受到威脅。NCSC拒絕列出參與攻擊的公司或提供有關(guān)攻擊的詳細(xì)信息。而負(fù)責(zé)清理舊核電廠和乏燃料的NDA說，提供詳細(xì)信息是“不適當(dāng)?shù)?rdquo;，理由是“該事件與NDA集團(tuán)以外的組織有關(guān)”。

這些披露可能會(huì)促使人們猜測(cè)英國核電站的安全漏洞，無法提供詳細(xì)信息引起了人們對(duì)英國核電部門透明度和安全性的擔(dān)憂。獨(dú)立核研究顧問戴維·洛瑞（David Lowry）表示，該部門將對(duì)透露的細(xì)節(jié)保持謹(jǐn)慎。他說，他們非常清楚，他們只需要發(fā)生一次安全事件，就會(huì)破壞整個(gè)系統(tǒng)的安全聲譽(yù)。……僅出于聲譽(yù)原因，他們承受不了失誤的負(fù)擔(dān)。因此不會(huì)過多披露細(xì)節(jié)。但從描述來看，此次網(wǎng)絡(luò)攻擊很有可能已經(jīng)獲取到極高的系統(tǒng)權(quán)限，否則僅靠隔離受害主機(jī)從而批量重裝系統(tǒng)的方式即可進(jìn)行業(yè)務(wù)恢復(fù)。

其中，原文稱關(guān)于攻擊目標(biāo)的猜測(cè)可能集中在法國電力公司（EDF）上，法國電力公司在英國主導(dǎo)著核能發(fā)電。而該公司卻拒絕在本周末就此事發(fā)表評(píng)論。

>>美國RavnAir航空公司遭受網(wǎng)絡(luò)攻擊

12月22日，據(jù)報(bào)道，黑客發(fā)起了一次針對(duì)Ravn Air航空公司的網(wǎng)絡(luò)攻擊，最終導(dǎo)致飛機(jī)維修等關(guān)鍵系統(tǒng)關(guān)閉，迫使Ravn Air航空公司取消了至少6個(gè)阿拉斯加的航班，影響了約260名乘客。

該航空公司在一份書面聲明中表示，因?yàn)榫W(wǎng)絡(luò)攻擊迫使其斷開了Dash 8的維護(hù)系統(tǒng)和備份，因此公司在中午之前取消了所有涉及Dash 8飛機(jī)的航班。該航空公司為阿拉斯加的100多個(gè)社區(qū)提供服務(wù)，其中許多社區(qū)無法通過公路到達(dá)。目前，Ravn Air航空公司正在與美國聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全專家合作，以恢復(fù)系統(tǒng)并調(diào)查網(wǎng)絡(luò)攻擊。

23號(hào)，公司對(duì)外宣布：我們將盡快在Dash-8航班上按照正常的時(shí)間表運(yùn)行，我們將嘗試在接下來的兩天內(nèi)增加航班數(shù)量，盡可能在其他航班上重新為受影響乘客安排座位。

>>中東遭伊朗惡意軟件ZeroCleare攻擊

12月20號(hào)，IBM的X-Force事件響應(yīng)和情報(bào)服務(wù)（IRIS）發(fā)布報(bào)告，披露了一種全新的破壞性數(shù)據(jù)清除惡意軟件 ZeroCleare，該惡意軟件以最大限度刪除感染設(shè)備數(shù)據(jù)為目標(biāo)。

IBM雖沒有透露此次遭受攻擊的具體公司，但可以確認(rèn)ZeroCleare瞄準(zhǔn)的是中東的能源和工業(yè)部門，初步估算已有1400臺(tái)設(shè)備遭感染。ZeroCleare用來執(zhí)行破壞性攻擊，主要是擦除主引導(dǎo)記錄（MBR），并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū)，說白了就是大肆刪數(shù)據(jù)。

IBM報(bào)告也證實(shí)，ZeroCleare和破壞性惡意軟件Shamoon同宗，都是出自伊朗資助的頂級(jí)黑客組織之手。不同的是，Shamoon 來自APT33組織，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）組織協(xié)作開發(fā)。

圖表22 IBM發(fā)布的ZeroCleare惡意軟件報(bào)告截圖

伊朗黑客組織APT34（Oilrig）至少從2014年起就瞄準(zhǔn)中東和國際受害者，目標(biāo)也多集中在金融、政府、能源、化工和電信等關(guān)乎國家安全的重要領(lǐng)域?？梢哉f，APT34的整體攻擊動(dòng)向，與伊朗國家利益和作戰(zhàn)時(shí)間安排保持高度一致。

通過各種網(wǎng)絡(luò)手段，幫助政府達(dá)成政治、經(jīng)濟(jì)、軍事目的，是APT34一類國家級(jí)黑客組織行動(dòng)的核心。今年早期，APT34（Oilrig）就曾偽裝成劍橋大學(xué)相關(guān)人員，使用LinkedIn傳送惡意文件，進(jìn)行網(wǎng)絡(luò)釣魚攻擊，預(yù)謀竊取重要信息。

從披露的攻擊進(jìn)程來看，執(zhí)行ZeroCleare惡意程序前，黑客會(huì)先通過暴力攻擊，訪問安全性較弱的公司網(wǎng)絡(luò)帳戶，而當(dāng)拿到公司服務(wù)器帳戶的訪問權(quán)限后，就會(huì)利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨后，攻擊者便會(huì)在入侵設(shè)備商，開啟橫向擴(kuò)散模式，部署ZeroCleare數(shù)據(jù)摧毀惡意軟件，上演破壞性的數(shù)據(jù)擦除攻擊。至于攻擊細(xì)節(jié)上，一個(gè)叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。

EldoS RawDisk是一個(gè)主要用于與文件、磁盤和分區(qū)進(jìn)行交互的合法工具包。為了順利運(yùn)行ZeroCleare，攻擊者會(huì)先通過名為soy.exe的中間文件，加載易受攻擊簽名驅(qū)動(dòng)程序VBoxDrv，強(qiáng)制（DSE）接受并運(yùn)行驅(qū)動(dòng)程序。

成功拿到權(quán)限后，ZeroCleare就會(huì)通過濫用合法工具包EldoS RawDisk的方式，擦除MBR并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū)，達(dá)到破壞性攻擊的目的。

值得一提的是，為了獲得設(shè)備核心的訪問權(quán)限，ZeroCleare還會(huì)使用易受攻擊的驅(qū)動(dòng)程序和惡意的PowerShell / Batch腳本，繞過Windows控件。

>>韓國數(shù)百家工業(yè)企業(yè)文件被竊取

12月18號(hào)，美國物聯(lián)網(wǎng)及工控系統(tǒng)安全公司CyberX威脅情報(bào)小組公布了一項(xiàng)針對(duì)韓國工業(yè)企業(yè)的高級(jí)持續(xù)性間諜活動(dòng)。據(jù)介紹，攻擊者會(huì)使用帶有惡意附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件，偽裝成PDF文件發(fā)動(dòng)攻擊。成功入侵后，攻擊者會(huì)從瀏覽器和電子郵件客戶端中竊取登錄數(shù)據(jù)，還會(huì)搜尋各種類型的文檔和圖像。

值得注意是，一旦有關(guān)工業(yè)設(shè)備設(shè)計(jì)的專有信息、商業(yè)秘密、知識(shí)產(chǎn)權(quán)被竊取，輕則攻擊者會(huì)對(duì)攻擊目標(biāo)進(jìn)行網(wǎng)絡(luò)偵察，發(fā)動(dòng)勒索攻擊，或者將這些信息出售給競(jìng)爭(zhēng)對(duì)手和尋求提高其競(jìng)爭(zhēng)地位的國家；重則攻擊者可以憑借對(duì)IoT / ICS網(wǎng)絡(luò)的遠(yuǎn)程RDP訪問權(quán)限，對(duì)該國重要且具有軍事意義的工廠布局了如指掌，并可在某關(guān)鍵時(shí)刻，直接對(duì)該國的工業(yè)企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞性打擊。

另外，危機(jī)比我們想象的還要快。據(jù)統(tǒng)計(jì)，已有數(shù)百家韓國工業(yè)企業(yè)受到影響。其中，最大受害者為一家關(guān)鍵基礎(chǔ)設(shè)施設(shè)備的制造商，它專為化工廠，輸電、配電設(shè)施或可再生能源行業(yè)的公司提供產(chǎn)品。此外，鋼鐵制造商、化工廠建設(shè)公司、管道制造商、閥門制造商、工程公司等相關(guān)企業(yè)也確認(rèn)受到影響。

更糟糕的是，攻擊活動(dòng)已波及全球。數(shù)據(jù)顯示，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)系統(tǒng)也不同程度受到影響。

該APT組織使用Separ惡意軟件新版本竊取敏感數(shù)據(jù)和文件，包括工程布局、有關(guān)工業(yè)設(shè)備設(shè)計(jì)的專有信息等。截至目前，已影響了至少200個(gè)系統(tǒng)，受害者約60％的企業(yè)為韓國工業(yè)企業(yè)。此外，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)企業(yè)也不同程度受到影響。

圖表 23 Separ惡意軟件影響范圍

總結(jié)和展望

整理完2019年的工控相關(guān)安全事件，心情頗為復(fù)雜。工控行業(yè)安全事故一旦發(fā)生，帶來的影響不可估量，不僅有巨大的經(jīng)濟(jì)損失，也帶來巨大的社會(huì)影響，直接影響到成千上萬人的日常生活。

總結(jié)2019年全球工控安全事件，可以得出下面幾個(gè)結(jié)論：

1、黑客組織的重點(diǎn)攻擊目標(biāo)是制造行業(yè)和能源行業(yè)，個(gè)人黑客較少針對(duì)工控行業(yè)發(fā)起攻擊。

2、制造行業(yè)，主要遭遇勒索軟件和信息竊取攻擊。勒索軟件導(dǎo)致生產(chǎn)線停工對(duì)工廠帶來巨大的經(jīng)濟(jì)壓力，惡意分子要求他們迅速付款以恢復(fù)運(yùn)營，而且，停機(jī)、清理、合同支付和股價(jià)下跌之間的成本可能是巨大而無法估量的。另外制造行業(yè)的機(jī)密數(shù)據(jù)也具有極其重要的商業(yè)價(jià)值，是有組織的黑客的重點(diǎn)目標(biāo)。一些重要的大型制造廠商也可能遭遇國家級(jí)黑客組織的攻擊，這些攻擊不以勒索為目的，而是為了破壞生產(chǎn)，造成嚴(yán)重的經(jīng)濟(jì)損失。

3、能源行業(yè)（包括電力、石油等），主要遭遇破壞性攻擊。能源行業(yè)是社會(huì)正常運(yùn)行的基礎(chǔ)，沒有電、沒有石油，現(xiàn)代社會(huì)無法正常運(yùn)行。從早些年的“震網(wǎng)”事件，到今年這些核電站、水電等電力系統(tǒng)和煉油廠的安全事件，充分表明針對(duì)能源行業(yè)的攻擊事件正越來越多。

4、黑客組織的國家背景凸顯。低廉的攻擊代價(jià)和高危的攻擊結(jié)果，讓破壞性攻擊逐漸泛化，越來越多擁有國家支持背景的黑客，開始利用破壞性攻擊緊盯能源、制造、金融等關(guān)鍵性重要領(lǐng)域。

總體來看，工控安全行業(yè)還有很長的路要走，還有很大的市場(chǎng)要開拓，相應(yīng)也有很大的壓力要承擔(dān)，可謂是“任重而道遠(yuǎn)”。針對(duì)工控行業(yè)的網(wǎng)絡(luò)攻擊和竊密，可以用很小的投入，換來極大的破壞力或收益，正被越來越多的黑客組織所重視，類似的安全事件今后還會(huì)越來越多。“沒有網(wǎng)絡(luò)安全就沒有國家安全”，工控安全更是直接關(guān)系到國際民生，關(guān)系到國家安全，責(zé)任重大。越來越多國家背景的黑客組織出現(xiàn)，網(wǎng)絡(luò)攻擊和竊密已經(jīng)逐漸成為某些國家和黑客組織的日?；顒?dòng)，這都為網(wǎng)絡(luò)安全防護(hù)帶來極大的困難。除了傳統(tǒng)的安全防護(hù)手段，工控安全防護(hù)工作必須轉(zhuǎn)變思路，以黑客的角度來思考問題，做安全防護(hù)。

我國各級(jí)網(wǎng)信部門、工廠企業(yè)、能源部門和金融部門等都應(yīng)以習(xí)總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想為指導(dǎo)，樹立正確的網(wǎng)絡(luò)安全觀，全面貫徹落實(shí)總體國家安全觀，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，不斷創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)使用機(jī)制，深入開展網(wǎng)絡(luò)安全知識(shí)技能普及工作，全方位筑牢國家網(wǎng)絡(luò)安全屏障、推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)。