http://m.007sbw.cn 2020-01-17 14:34 來源:威努特工控安全
序
在繁忙的工作中不知不覺又迎來了新的一年,年末歲初,正是我們總結(jié)過去展望未來的時(shí)間。對(duì)于工控安全行業(yè),2019年可以說是具有劃時(shí)代意義的一年。
5月1號(hào),關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例被納入《國務(wù)院2019年立法工作計(jì)劃》,由網(wǎng)信辦、工業(yè)和信息化部、公安部負(fù)責(zé)起草。
12月1號(hào),萬眾矚目的“等保2.0”正式開始實(shí)施,工業(yè)控制系統(tǒng)安全正式被納入等保2.0的評(píng)測(cè)范圍。
12月3號(hào),國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)試點(diǎn)工作正式啟動(dòng)。關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)的主要內(nèi)容包含公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,其中能源、交通、水利和很多公共服務(wù)都離不開工業(yè)控制系統(tǒng)。
除了這些政策法規(guī),大家更關(guān)心更有興趣的是真實(shí)發(fā)生的安全事件或安全事故。安全行業(yè)和保險(xiǎn)行業(yè)很相似,沒有事故發(fā)生時(shí)感覺不到它的存在和價(jià)值,只有血淋淋的事故才能改變或加深大家的認(rèn)識(shí)和看法。2019年發(fā)生了很多重大的工控安全事件,這些事件也將改變或加深我們對(duì)于工控安全以及關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的認(rèn)識(shí)和看法。
本文匯編了2019年互聯(lián)網(wǎng)上披露的工業(yè)控制相關(guān)的安全事件或安全事故(很多工控安全事故不在網(wǎng)上披露),這些材料主要從國內(nèi)、國外的各種官方和非官方網(wǎng)站收集整理而來,雖然我們盡量參考多方資料進(jìn)行校對(duì),但是難免會(huì)有不準(zhǔn)確的地方。很多黑客組織入侵攻擊的細(xì)節(jié)都需要長期的分析模擬才能反向推測(cè)還原當(dāng)時(shí)真實(shí)的場(chǎng)景,所以今年發(fā)生的大部分事件還沒有最終的分析結(jié)果,目前只有各方面媒體、機(jī)構(gòu)和專家的推測(cè),甚至有些事件還不能確認(rèn)為攻擊事件,大家僅作參考。
如果各位讀者發(fā)現(xiàn)錯(cuò)誤或失真的地方,請(qǐng)不吝指正,如果發(fā)現(xiàn)侵犯了您的知識(shí)產(chǎn)權(quán),請(qǐng)盡快聯(lián)系我們,我們將在第一時(shí)間響應(yīng)并確認(rèn)修改。
匯總分析
2019年,全球各地工控安全問題事件數(shù)量逐步上升,今年工控安全事件的報(bào)告數(shù)量達(dá)到329件。從2012年至今年的工控安全事件報(bào)告數(shù)量程逐年上升趨勢(shì),如下圖所示:
圖表 1 2012~2019 年全球工控安全事件報(bào)告數(shù)量(數(shù)據(jù)來源:中國產(chǎn)業(yè)信息)
工業(yè)控制的細(xì)分領(lǐng)域眾多,據(jù)調(diào)查近年來工控安全事件涉及超過15個(gè)行業(yè),安全事件的行業(yè)分布如下圖所示:
圖表 2 工控安全事件所屬行業(yè)細(xì)分(數(shù)據(jù)來源:中國產(chǎn)業(yè)信息)
目前工控市場(chǎng)安全只覆蓋到了其中部分行業(yè)的部分企業(yè),要實(shí)現(xiàn)全面防護(hù)還有許多路要走。
下面我們來具體看一些網(wǎng)上公開的工業(yè)信息安全事件。
2019年1月
>>>愛爾蘭都柏林電車系統(tǒng)遭黑客攻擊
1月3日,據(jù)據(jù)《愛爾蘭審查員報(bào)》報(bào)道,控制愛爾蘭首都都柏林電車系統(tǒng)的網(wǎng)站Luas,早晨遭黑客入侵后下線,黑客要求五天內(nèi)支付贖金。
1月3號(hào)一大早,該網(wǎng)站的訪問者收到了黑客發(fā)來的信息,聲稱已從運(yùn)營商Transdev Ireland竊取了數(shù)據(jù),若不支付一枚比特幣(約3300歐元或3800美元)的贖金,這些數(shù)據(jù)將會(huì)在網(wǎng)上發(fā)布。
圖表 3 都柏林電廠運(yùn)營網(wǎng)站收到的勒索信
在這封郵件中,黑客表示之前已就安全漏洞問題聯(lián)系過電車運(yùn)營商,但運(yùn)營商并未作出回應(yīng),他們對(duì)此感到不滿。黑客這次成功地吸引了Transdev的注意,這一點(diǎn)在今早發(fā)給乘客的官方推特上得到證實(shí),該推特提醒乘客不要訪問受感染的網(wǎng)站。Luas網(wǎng)站已經(jīng)離線,工程師們正在審查其安全性。
>>>法國亞創(chuàng)集團(tuán)遭勒索軟件攻擊
1月24日,攻擊者利用LockerGoga勒索軟件對(duì)亞創(chuàng)集團(tuán)進(jìn)行了勒索攻擊。
1月28日,亞創(chuàng)集團(tuán)發(fā)布聲明,稱技術(shù)專家正在對(duì)此次勒索事件進(jìn)行取證跟進(jìn)。由于此次勒索事件,亞創(chuàng)集團(tuán)暫停了全球多項(xiàng)業(yè)務(wù)。
法國亞創(chuàng)集團(tuán)成立于1982年,是一家提供創(chuàng)新和工程咨詢服務(wù)的全球性公司,業(yè)務(wù)遍布全球30多個(gè)國家,涉及汽車、通信、生命科學(xué)、航空航天、國防、能源、金融和鐵路等行業(yè)。
圖表 4 法國亞創(chuàng)集團(tuán)發(fā)布被網(wǎng)絡(luò)攻擊的聲明
圖表 5 法國亞創(chuàng)集團(tuán)收到的勒索信
2019年2月
>>印度國有天然氣公司數(shù)據(jù)泄露
2月10號(hào),外媒報(bào)道,由于網(wǎng)絡(luò)安全措施不到位,印度國有天然氣公司Indane又一次暴露了數(shù)以百萬計(jì)的Aadhaar生物識(shí)別數(shù)據(jù)庫信息。問題出在Indane面向經(jīng)銷商和渠道商的網(wǎng)站上,盡管該網(wǎng)站需要有效的用戶名和密碼驗(yàn)證才能進(jìn)行訪問,但部分內(nèi)容已經(jīng)被谷歌搜索引擎編入索引。如此一來,所有人都能夠繞過登陸頁面,直接獲得對(duì)經(jīng)銷商數(shù)據(jù)庫的自有訪問權(quán)限。
據(jù)悉,這些數(shù)據(jù)是由一名安全研究人員發(fā)現(xiàn)的,但因害怕印度當(dāng)局的報(bào)復(fù),他要求媒體在報(bào)道中匿名。
圖表 6 印度一個(gè)安全研究人員的私信
圖表 7 印度國有天然氣公司泄露的數(shù)據(jù)截圖
>>日本光學(xué)產(chǎn)品制造商Hoya遭受網(wǎng)絡(luò)攻擊
據(jù)外媒報(bào)道,日本光學(xué)產(chǎn)品制造商Hoya公司稱,公司在2月底遭受了一次嚴(yán)重的網(wǎng)絡(luò)攻擊,100多臺(tái)電腦感染了病毒,導(dǎo)致Hoya公司的用戶ID和密碼被黑客竊取。黑客還在攻擊期間試圖挖掘加密貨幣,工廠生產(chǎn)線因此停止了三天。
Hoya公司是日本最大的公司之一,也是最大的光學(xué)產(chǎn)品生產(chǎn)商,它的年收入超過41億美元。
Hoya表示,網(wǎng)絡(luò)攻擊發(fā)生后,一臺(tái)控制網(wǎng)絡(luò)的計(jì)算機(jī)服務(wù)器首先停機(jī),工人們無法使用軟件來管理訂單和生產(chǎn),因此工業(yè)產(chǎn)出比正常水平下降了大約40%。隨后,病毒也開始在其他電腦上感染,但最終在開始加密貨幣挖掘操作之前被成功阻止。
據(jù)稱攻擊已經(jīng)持續(xù)了三天,受影響的工廠都位于泰國,不過有關(guān)攻擊的詳細(xì)信息尚未公布。
2019年3月
>>挪威海德魯公司遭勒索軟件攻擊
3月19日,挪威海德魯(Norsk Hydro)公司舉行新聞發(fā)布會(huì),稱3月18日午夜,公司遭到勒索軟件攻擊,致使主機(jī)死機(jī),導(dǎo)致生產(chǎn)業(yè)務(wù)中斷。參會(huì)的NorCERT(挪威國家應(yīng)急響應(yīng)中心)代表稱此次攻擊事件是由一個(gè)名為LockerGoga的勒索軟件發(fā)起的,可能涉及到對(duì)海德魯公司的Active Directory系統(tǒng)的攻擊。
海德魯公司創(chuàng)建于1905年,主要經(jīng)營石油、能源、輕金屬(鋁、鎂)、石化產(chǎn)品、水電及設(shè)備、工業(yè)用化學(xué)品等,是世界最大的綜合性鋁業(yè)集團(tuán)之一。
盡管海德魯公司安全部門竭盡全力防止感染蔓延,但該惡意軟件最后造成公司40個(gè)國家/地區(qū)的170個(gè)不同站點(diǎn),約22,000臺(tái)計(jì)算機(jī)被攻擊。公司在遭遇勒索軟件攻擊之后,被迫關(guān)閉了幾項(xiàng)金屬擠壓計(jì)劃。網(wǎng)絡(luò)攻擊事件影響了該公司多個(gè)業(yè)務(wù)區(qū)的運(yùn)營,嚴(yán)重的勒索軟件攻擊導(dǎo)致其全球計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)宕機(jī),無法連接其鋁材擠壓解決方案業(yè)務(wù)的生產(chǎn)系統(tǒng),結(jié)果致使數(shù)家工廠停工,造成了極其嚴(yán)重的運(yùn)營挑戰(zhàn)和經(jīng)濟(jì)損失。
公司發(fā)言人解釋稱,第一季度網(wǎng)絡(luò)攻擊的整體財(cái)務(wù)影響估計(jì)為4-4.5億挪威克朗,但其公司已經(jīng)與知名保險(xiǎn)公司建立了強(qiáng)大的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)。
公司證實(shí),此次攻擊是受到了LockerGoga勒索軟件的影響,該軟件能夠加密帶有以下擴(kuò)展名的文件:doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。
圖表 8 挪威海德魯公司收到的勒索信
研究人員稱,LockerGoga似乎不具備像WannaCry或NotPetya等其他惡意軟件那樣的傳播能力。相反,LockerGoga會(huì)計(jì)算受感染系統(tǒng)的Wi-Fi或以太網(wǎng)網(wǎng)絡(luò)適配器的數(shù)量,然后嘗試通過命令行(netsh.exe interface set interface disable)禁用它們,以斷開系統(tǒng)與外部的連接。
Trend Micro研究人員表示,“LockerGoga在加密之后以及注銷當(dāng)前帳戶之前運(yùn)行此程序。這是一個(gè)值得注意的特征。LockerGoga通過更改帳戶的密碼將用戶排除在系統(tǒng)之外,因此其文件勒索反而顯得不那么重要。“
根據(jù)Unit 42的威脅情報(bào)副總裁Ryan Olson告訴Threatpost的信息,LockerGoga使用未記錄的Windows API調(diào)用進(jìn)行通信,其中涉及WS2_32.dll,一個(gè)在Microsoft Windows中提供對(duì)網(wǎng)絡(luò)連接支持的dll文件。這意味著開發(fā)者對(duì)Microsoft Windows很熟悉,足以了解如何使用這些未記錄的API,開發(fā)人員可能正在構(gòu)建一個(gè)大型的控制網(wǎng)絡(luò),單純的勒索軟件中很少使用復(fù)雜的網(wǎng)絡(luò)功能。
思科威脅情報(bào)組織Talos的研究人員Liska表示,與其他復(fù)雜的勒索軟件不同,勒索通知中沒有支付贖金的說明,沒有比特幣或Monero錢包地址,但含有兩個(gè)電子郵件地址來聯(lián)系攻擊者。這些功能引發(fā)了更多關(guān)于黑客意圖的猜測(cè),因?yàn)槔账鬈浖ǔJ亲畈幌冗M(jìn)的惡意軟件形式之一,它們是否受到經(jīng)濟(jì)利益或其他因素的驅(qū)使?動(dòng)機(jī)是否隨著時(shí)間而改變?為什么他們提供一個(gè)電子郵件地址而不是通過更常用的加密貨幣來要求支付?
Liska告訴Threatpost,目前還沒有找到攻擊的原因,還沒有人將這次攻擊歸咎于誰,他們的目標(biāo)貌似不是贖金,像是在破壞國家安全,但目前沒有證據(jù)表明這一點(diǎn)。
>>委內(nèi)瑞拉全國性停電事件
據(jù)法新社報(bào)道,3月7日下午4點(diǎn)50分,委內(nèi)瑞拉首都加拉加斯在夜幕降臨之前陷入停電狀態(tài)。全市數(shù)千房屋停電停水,地鐵停止運(yùn)行,電話服務(wù)和網(wǎng)絡(luò)接入服務(wù)無法使用。令人驚恐的是,相似的情況同樣發(fā)生在了委內(nèi)瑞拉的其他城市,總統(tǒng)馬杜羅表示,這是拉丁美洲國家史上最嚴(yán)重的一場(chǎng)停電。
除了停水和各大公共設(shè)施及服務(wù)停止使用之外,委內(nèi)瑞拉還關(guān)閉了學(xué)校、辦公室和商店,而更多的恐慌和混亂則發(fā)生在醫(yī)院里。據(jù)法新社報(bào)道援引一位病患家屬稱,停電發(fā)生后,加拉加斯市中心JM de Rios兒童醫(yī)院的備用發(fā)電機(jī)未能啟動(dòng)。馬杜羅周六透露,有超過50%的醫(yī)院未能啟動(dòng)備用發(fā)電機(jī)。
當(dāng)?shù)貢r(shí)間3月7日,委內(nèi)瑞拉全國電力供應(yīng)公司Corpoelec報(bào)告稱,由于該國最大的電力設(shè)施——古里水電大壩遭到“破壞”,委內(nèi)瑞拉21個(gè)或23個(gè)州的停電情況。隨后,委內(nèi)瑞拉進(jìn)入全國搶修電力設(shè)施的狀態(tài)。
委內(nèi)瑞拉總統(tǒng)馬杜羅在3月9日說,今天,我們已經(jīng)恢復(fù)了該國70%的領(lǐng)土供電,但就在中午,敵對(duì)勢(shì)力又對(duì)我們其中一個(gè)電力設(shè)施發(fā)動(dòng)了網(wǎng)絡(luò)攻擊。在此之前,該設(shè)施運(yùn)行良好。由于這個(gè)原因,我們本來在9日下午三點(diǎn)左右應(yīng)該取得的所有進(jìn)展都被中斷了。馬杜羅指責(zé)美國對(duì)委內(nèi)瑞拉發(fā)動(dòng)了一場(chǎng)電力能源戰(zhàn)爭(zhēng)。
電力完整恢復(fù)幾乎花了一個(gè)星期的時(shí)間。
圖表 9 委內(nèi)瑞拉停電場(chǎng)景
根據(jù)俄羅斯衛(wèi)星通訊社3月26號(hào)消息,委內(nèi)瑞拉新聞和通信部長豪爾赫羅德里格斯表示,該國電力系統(tǒng)再次遭到襲擊。
>>美國Hexion和Momentive公司遭勒索軟件攻擊
3月12日,Hexion和Momentive公司于遭到勒索軟件的襲擊,根據(jù)Momentive一位匿名員工的說法,該攻擊是在3月12日開始的,由于此次攻擊,大量關(guān)鍵數(shù)據(jù)都從系統(tǒng)中丟失,公司的Windows計(jì)算機(jī)出現(xiàn)了藍(lán)屏錯(cuò)誤并且文件被加密。
Hexion和Momentive公司主要生產(chǎn)樹脂、有機(jī)硅和其他材料,由同一投資基金控制。
Momentive CEO發(fā)出的電子郵件中提到了由惡意軟件引起的“全球IT中斷”。根據(jù)電子郵件,該公司必須訂購數(shù)百臺(tái)新計(jì)算機(jī)來替換受感染的計(jì)算機(jī)。
Hexion發(fā)布了一份新聞稿,稱此攻擊為網(wǎng)絡(luò)安全事件,阻止了公司網(wǎng)絡(luò)中某些系統(tǒng)和數(shù)據(jù)的訪問。
根據(jù)Motherboard報(bào)道,該勒索軟件與之前對(duì)挪威海德魯公司的攻擊有許多相似之處,因此研究人員也將此次攻擊歸因于LockerGoga勒索軟件。
2019年4月
>>日本豐田汽車公司遭黑客入侵
北京時(shí)間4月1日晚間消息,據(jù)美國科技媒體ZDNet報(bào)道,豐田汽車今日公布了第二起數(shù)據(jù)泄露事件,這也是該公司在過去五周內(nèi)承認(rèn)的第二起網(wǎng)絡(luò)安全事件。
豐田汽車表示,黑客入侵了其IT系統(tǒng),并訪問了幾家銷售子公司的數(shù)據(jù)。這些子公司包括豐田東京銷售控股公司、東京汽車、東京豐田、豐田東京卡羅拉、豐田東京銷售網(wǎng)絡(luò)、雷克薩斯Koishikawa Sales公司、Jamil Shoji(雷克薩斯Nerima)和豐田西東京卡羅拉。
公司表示,黑客訪問的服務(wù)器存儲(chǔ)了多達(dá)310萬名客戶的銷售信息。豐田汽車稱,目前正在調(diào)查此事,以確定黑客是否泄露了他們可以訪問的任何數(shù)據(jù)。
豐田汽車強(qiáng)調(diào),客戶的財(cái)務(wù)細(xì)節(jié)并未存儲(chǔ)在被黑客攻擊的服務(wù)器上。至于黑客可能訪問了哪些類型的數(shù)據(jù),豐田汽車并未披露。
豐田汽車發(fā)言人今日向媒體表示:“我們向所有使用豐田和雷克薩斯汽車的客戶表示歉意。我們認(rèn)真對(duì)待這一問題,并將在經(jīng)銷商和整個(gè)豐田集團(tuán)中徹底實(shí)施信息安全措施。”
圖表 10 日本豐田越南分公司遭受入侵攻擊
>>德國化工制藥企業(yè)拜耳公司遭黑客入侵
4月初,據(jù)德國電視一臺(tái)的"每日新聞"(tagesschau.de)報(bào)道,拜耳公司(Bayer AG)向外證實(shí),有黑客入侵了該公司的網(wǎng)絡(luò)系統(tǒng)。拜耳稱,公司的網(wǎng)絡(luò)安全中心在2018年初發(fā)現(xiàn)了一種名為"Winnti"的竊密病毒,并開始針對(duì)其實(shí)施防御措施,但無法溯源獲知黑客最早何時(shí)進(jìn)入系統(tǒng)。德國媒體報(bào)道,此次出擊的是一個(gè)目標(biāo)明確、十分專業(yè)的黑客小組。
德國網(wǎng)絡(luò)安全組織(DCSO)的技術(shù)負(fù)責(zé)人羅爾(Andreas Rohr)對(duì)德廣聯(lián)表示,一旦確認(rèn)公司網(wǎng)絡(luò)系統(tǒng)受到Winnti惡意程序入侵,就清楚地表明,該企業(yè)已成為有針對(duì)性的網(wǎng)絡(luò)攻擊的目標(biāo)。DCSO是包括拜耳在內(nèi)的多家德國大型企業(yè)于2015年共同成立的,任務(wù)之一是調(diào)查網(wǎng)絡(luò)經(jīng)濟(jì)間諜活動(dòng)。羅爾補(bǔ)充說,Winnti小組的發(fā)展速度很快。
據(jù)拜耳稱,Winnti小組的黑客以企業(yè)內(nèi)網(wǎng)(Intranet)與互聯(lián)網(wǎng)(Internet)的接點(diǎn)以及授權(quán)系統(tǒng)作為入侵點(diǎn),作案方式非常專業(yè)。但拜耳稱,目前沒有跡象表明已發(fā)生了數(shù)據(jù)失竊。
在最早發(fā)現(xiàn)該惡意軟件時(shí),該公司沒有馬上刪除它,而是選擇對(duì)軟件進(jìn)行秘密監(jiān)視,以嘗試確定其目的以及負(fù)責(zé)植入惡意代碼的人員。
到2019年3月底,該惡意軟件被徹底刪除,公司的網(wǎng)絡(luò)系統(tǒng)已經(jīng)得到清理徹查,根據(jù)拜耳掌握的情況,入侵者尚未采取積極行動(dòng),盜取數(shù)據(jù)信息。
>>美國自來水公司Odintsovsky Vodokanal遭勒索軟件攻擊
4月15日,美國自來水公司Odintsovsky Vodokanal被勒索軟件攻擊。該惡意軟件對(duì)受感染設(shè)備和網(wǎng)絡(luò)共享上的數(shù)據(jù)都進(jìn)行了加密,危及到公司的技術(shù)文檔,客戶數(shù)據(jù)以及帳單系統(tǒng)。
攻擊者的目標(biāo)是讓公司付費(fèi)以恢復(fù)其數(shù)據(jù),但奧丁佐夫斯基沃多卡納爾拒絕支付贖金,并向卡巴斯基尋求幫助。在分析了加密的數(shù)據(jù)樣本和惡意軟件本身之后,卡巴斯基專家找到了一種方法來恢復(fù)所有信息,并在幾個(gè)小時(shí)內(nèi)將解密軟件發(fā)送給了受害公司。
攻擊者通過Windows操作系統(tǒng)中內(nèi)置的標(biāo)準(zhǔn)“遠(yuǎn)程桌面協(xié)議”服務(wù)滲透到組織內(nèi)的網(wǎng)絡(luò)。攻擊者能夠遠(yuǎn)程破解該帳戶的密碼,并在系統(tǒng)上獲得授權(quán)。接下來,他們以手動(dòng)模式在受感染計(jì)算機(jī)上執(zhí)行了惡意軟件,然后惡意軟件開始對(duì)文件進(jìn)行加密。
根據(jù)卡巴斯基的數(shù)據(jù)分析,這種加密惡意軟件的大多數(shù)受害者位于俄羅斯。
>>歐洲重型汽車制造企業(yè)Aebi Sschmidt遭勒索軟件攻擊
4月25日,總部位于瑞士的專用汽車制造商Aebi Schmidt向客戶和業(yè)務(wù)合作伙伴通報(bào)說,由于網(wǎng)絡(luò)攻擊,其部分業(yè)務(wù)可能會(huì)中斷。
Aebi Sschmidt是歐洲最大的制造企業(yè)之一,主要業(yè)務(wù)是為建造機(jī)場(chǎng)和制造公路養(yǎng)護(hù)車輛。據(jù)知情人士稱,公司在網(wǎng)絡(luò)安全事件發(fā)生后中斷了運(yùn)營。該公司整個(gè)國際網(wǎng)絡(luò)的系統(tǒng)都崩潰了,其中受到破壞最嚴(yán)重的是瑞士總部。此外,公司的電子郵件服務(wù)器也受到了嚴(yán)重影響。
事件曝光幾天后,該公司一名發(fā)言人通過社交媒體發(fā)布了一條消息,稱“部分系統(tǒng)因安全事故而中斷”,主要問題是服務(wù)器企業(yè)郵件發(fā)生故障。消息還證實(shí)了其他系統(tǒng)受到了一些損害。但發(fā)言人沒有闡述細(xì)節(jié),只稱專家正在努力恢復(fù)公司網(wǎng)絡(luò)環(huán)境,這可能需要較長的時(shí)間。
盡管該公司尚未公開承認(rèn)遭遇勒索軟件攻擊,但該公司一些員工已證實(shí)了這一點(diǎn)。此外,知情人士還提到,該公司的許多系統(tǒng)仍然無法運(yùn)行。此次攻擊的相關(guān)細(xì)節(jié)仍未公布,該網(wǎng)絡(luò)攻擊事件將對(duì)Aebi Sschmidt造成多少財(cái)務(wù)損失仍不得而知。
2019年6月
>>美國飛機(jī)零部件供應(yīng)商ASCO遭勒索軟件攻擊
6月7日,勒索軟件最先襲擊了ASCO比利時(shí)公司的Zaventem工廠,由于被勒索軟件感染導(dǎo)致IT系統(tǒng)癱瘓、工廠無法運(yùn)營,該公司目前已有1000名工人休假。另外,ASCO也關(guān)閉了德國、加拿大和美國的工廠,位于法國和巴西的非生產(chǎn)辦事處未受影響。
ASCO隸屬于世界500強(qiáng)之一的美國艾默生集團(tuán),是世界上最重要的飛機(jī)零部件設(shè)計(jì)供應(yīng)商之一。該公司的一些客戶包括航空運(yùn)輸和軍事領(lǐng)域的大腕,如空中客車公司,波音公司,龐巴迪公司和洛克希德馬丁公司。ASCO制造的零件用于F-35戰(zhàn)斗機(jī),空中客車A400M軍用飛機(jī),空中客車和波音商用客機(jī)以及阿麗亞娜太空發(fā)射火箭等。
目前還不清楚ASCO是否已支付贖金以恢復(fù)其系統(tǒng)的訪問權(quán)限,從備份中恢復(fù),或從頭開始購買新系統(tǒng)和重建其計(jì)算機(jī)網(wǎng)絡(luò)。
>>德國寶馬公司被黑客組織滲透事件
據(jù)外媒報(bào)道,有著國家級(jí)背景的黑客組織滲透進(jìn)入寶馬公司的計(jì)算機(jī)網(wǎng)絡(luò)。針對(duì)寶馬汽車公司的攻擊始于2019年春,6月份時(shí),寶馬公司將有關(guān)計(jì)算機(jī)進(jìn)行了脫網(wǎng),并正式對(duì)外公布。
在近期的一次采訪中,寶馬公司相關(guān)負(fù)責(zé)人表示:
“我們已經(jīng)對(duì)結(jié)構(gòu)和流程進(jìn)行了進(jìn)一步防范,可以最大程度減少未經(jīng)授權(quán)的外部人士訪問我們系統(tǒng)的風(fēng)險(xiǎn),同時(shí),在發(fā)生某些事件時(shí),我們能快速進(jìn)行檢測(cè)、重建和恢復(fù)。”
寶馬公司在發(fā)現(xiàn)入侵行為時(shí),并沒有立刻采取強(qiáng)硬措施,而是決定嵌入其植入系統(tǒng)的一個(gè)名為“ Cobalt Strike”的工具,這個(gè)工具可以方便地實(shí)現(xiàn)遠(yuǎn)程投屏和控制計(jì)算機(jī)。
寶馬公司發(fā)現(xiàn),該黑客組織應(yīng)是從BR Recherche攻擊了計(jì)算機(jī)。其活躍的目的可能是收集更多信息,例如各地汽車銷量的報(bào)告。
據(jù)專家分析,攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”(Ocean Lotus)。繼關(guān)鍵基礎(chǔ)設(shè)施之后,汽車工業(yè)也成為國家級(jí)APT組織的重點(diǎn)攻擊目標(biāo)。
作為“海蓮花”此次行為的一部分,韓國汽車制造商現(xiàn)代汽車的網(wǎng)絡(luò)也遭到了攻擊。目前沒有有關(guān)此特定事件的詳細(xì)信息,現(xiàn)代公司也拒絕提供任何評(píng)論。
圖表 11 安全專家的分析
>>美國被披露長期監(jiān)控俄羅斯電力系統(tǒng)
6月15日,《紐約時(shí)報(bào)》援引美國現(xiàn)任和前任政府官員的話稱,美國正在加大對(duì)俄羅斯電網(wǎng)的網(wǎng)絡(luò)攻擊,“至少從2012年開始,美國已將偵查探測(cè)器置入俄羅斯電網(wǎng)的控制系統(tǒng)。”
圖表 12 紐約時(shí)報(bào)報(bào)道截圖
《紐約時(shí)報(bào)》稱,美國此前從未嘗試在俄羅斯電網(wǎng)內(nèi)部植入惡意程序。此次攻擊可視為一次警告,也在告訴世人,如果美俄之間產(chǎn)生嚴(yán)重沖突,那么美方將會(huì)采取網(wǎng)絡(luò)攻擊。
報(bào)道稱,兩名白宮高官表示,美國總統(tǒng)特朗普本人尚未收到此次行動(dòng)的任何細(xì)節(jié)匯報(bào)。五角大樓和美國情報(bào)部門官員稱,他們非常猶豫是否要將對(duì)俄采取行動(dòng)的細(xì)節(jié)告訴特朗普,因?yàn)樗麄儞?dān)心特朗普的反應(yīng),他可能會(huì)推翻行動(dòng),或轉(zhuǎn)而與外交人員商議此事。
過去三個(gè)月內(nèi),《紐約時(shí)報(bào)》采訪了一批白宮現(xiàn)任和前任高官,他們紛紛表示美國將計(jì)算機(jī)代碼植入俄羅斯電網(wǎng)和其他目標(biāo)可以視作美國對(duì)俄采取更具攻擊性的戰(zhàn)略。
據(jù)報(bào)道,美國國會(huì)去年通過軍事授權(quán)法案,此次侵入俄羅斯電網(wǎng)似乎正是在新的法律程序下開展的。根據(jù)新法,美國防長可以在沒有總統(tǒng)特別批準(zhǔn)的前提下授權(quán)開展網(wǎng)絡(luò)空間“秘密軍事行動(dòng)”。目前,特朗普政府不愿評(píng)論此次行動(dòng)是否屬于新法規(guī)定范疇。不過美國官員表示,美軍偵查俄羅斯電網(wǎng)至少可以追溯到2012年。
美國國家安全委員會(huì)官員拒絕評(píng)論此事。
>>阿根廷大規(guī)模停電事件
6月16日早7點(diǎn)左右,阿根廷發(fā)生大規(guī)模停電,首都布宜諾斯艾利斯的交通信號(hào)燈停止運(yùn)作,地鐵、城際鐵路、公交車等公共交通全部停運(yùn),鄰國烏拉圭、巴西、智利和巴拉圭部分地區(qū)的電力也中斷。
阿根廷能源部長洛佩特吉在推特上說:“沿海輸電系統(tǒng)早上發(fā)生故障并導(dǎo)致全國停電。目前我們無法確定到底出了什么問題。這是史無前例的事件,我們一定會(huì)徹查到底。”他表示,“雖然網(wǎng)絡(luò)攻擊不是主要假設(shè),但不能排除這個(gè)可能性。”
16日晚,阿根廷能源部的聲明稱:“根據(jù)截止20時(shí)15分的數(shù)據(jù),已恢復(fù)總需求量的98%。”從事該國電力分配的兩家公司Edesur和Edenor也發(fā)布消息稱,已恢復(fù)了為全部用戶提供服務(wù)。此外,烏拉圭國家電力公司發(fā)布消息稱,“已恢復(fù)早上發(fā)生故障期間中斷的98.5%服務(wù)。不過,恢復(fù)工作將持續(xù)至凌晨。“
能源部長Lopetegui表示對(duì)事件原因“不敢提出任何假設(shè)”,因?yàn)樗形凑莆账斜匾畔?。Lopetegui表示,這個(gè)“非同尋常”的事故本不該發(fā)生,“從簡(jiǎn)單故障發(fā)生的那一刻起,到整個(gè)國家的電網(wǎng)在沒有人為干預(yù)的情況下完全斷電,只有不到一秒鐘的時(shí)間,而本該隔離的故障部分卻沒有自動(dòng)切斷。這在阿根廷歷史上從未發(fā)生過?,F(xiàn)在的問題是要搞明白為什么一個(gè)明明有能力實(shí)現(xiàn)部分隔離的系統(tǒng)會(huì)出現(xiàn)失靈?”
事故原因有待查明,阿根廷政府表示對(duì)周日停電造成的經(jīng)濟(jì)損失目前仍無法估計(jì)。
2019年7月
>>美國紐約停電事件
當(dāng)?shù)貢r(shí)間7月13日晚,紐約曼哈頓發(fā)生大規(guī)模停電,包括中心地帶的時(shí)代廣場(chǎng)、地鐵站、電影院、百貨公司等均陷入一片漆黑。據(jù)悉,此次停電造成大約4.2萬名居民斷電,還有多人被困電梯。停電發(fā)生在晚上7點(diǎn)前,當(dāng)時(shí)氣溫大約30攝氏度。紐約市長白思豪在推特上表示,紐約應(yīng)急管理辦公室正在同紐約市警察局及紐約市消防局等方面通力合作,應(yīng)對(duì)此次停電事故。7月13日下午6點(diǎn)45分左右一直到午夜前,從紐約時(shí)報(bào)廣場(chǎng)到百老匯的近40個(gè)街區(qū)里,千萬人受到停電影響。
圖表 13 紐約曼哈頓停電場(chǎng)景
據(jù)美國??怂剐侣剤?bào)道,美國最大的私人能源公司之一,聯(lián)合愛迪生在7月14日發(fā)表聲明稱,此次大規(guī)模停電與一次“重大電力傳輸”有關(guān)。
聯(lián)合愛迪生公司總裁蒂姆·考利(Tim Cawley)表示,停電與該公司電網(wǎng)的需求量無關(guān),并補(bǔ)充稱,隨著氣溫升高,該公司已做好準(zhǔn)備應(yīng)對(duì)夏季用電高峰。
聯(lián)合愛迪生公司稱將盡力調(diào)查此事,以確定事故根本原因所在。該公司發(fā)布的新聞稿內(nèi)表示,“在接下來的幾天或幾周內(nèi),我們的工程師和相關(guān)人員將仔細(xì)檢查與此次事件有關(guān)的設(shè)備,并進(jìn)行相應(yīng)的數(shù)據(jù)分析,成果將會(huì)與公眾分享。”
當(dāng)?shù)貢r(shí)間7月15日,紐約愛迪生聯(lián)合公司官方回復(fù):13日晚的紐約市的大面積停電是變電站繼電保護(hù)系統(tǒng)失靈引起的。
巧合的是,美國媒體報(bào)道說,7月13日正好是紐約1977年大停電42周年紀(jì)念日。
另外有美方報(bào)導(dǎo)稱:伊朗革命衛(wèi)隊(duì)信息戰(zhàn)部隊(duì)成功的突破了美國信息戰(zhàn)部隊(duì)的圍堵,闖入了紐約市三十多個(gè)變電站的控制中心,并對(duì)控制中心進(jìn)行信息站破壞,導(dǎo)致了紐約全城大約4個(gè)小時(shí)的停電。
美國軍方也有人士透露,革命衛(wèi)隊(duì)的信息戰(zhàn)部隊(duì)設(shè)法滲透,甚至可以遠(yuǎn)程操控美國的變電站控制系統(tǒng)。在大規(guī)模停電發(fā)生前,其中一個(gè)變電站控制中心的操作人員發(fā)現(xiàn)顯示器上的光標(biāo)出現(xiàn)了抖動(dòng)現(xiàn)象,而當(dāng)時(shí)他并沒有操縱鼠標(biāo),當(dāng)他試圖控制光標(biāo)時(shí)已經(jīng)晚了,鼠標(biāo)已經(jīng)不受控,隨即點(diǎn)擊了總開關(guān),自己拉黑電網(wǎng)。
美軍信息站專家Robert Lee表示:“這是一次蓄謀已久并深思熟慮的高手作案。首先,伊朗的“網(wǎng)絡(luò)軍團(tuán)”們將引導(dǎo)病毒引入美國變電站的計(jì)算機(jī)內(nèi)。為此,他們將病毒軟件隱藏在電子郵件中,只要美國電站操作員打開時(shí)就會(huì)自動(dòng)啟動(dòng)。“
>>烏克蘭某核電站發(fā)現(xiàn)了挖礦設(shè)備
7月10日,在南烏克蘭核電廠SE NAE Energoatom的中央控制面板行政大樓104號(hào)辦公室被進(jìn)行了授權(quán)搜查,發(fā)現(xiàn)并沒收了計(jì)算機(jī)設(shè)備和部件。被沒收的設(shè)備包括六臺(tái)Radeon RX 470 GPU視頻卡,一塊主板,電源和延長線,一臺(tái)USB和硬盤,以及安裝在發(fā)電廠的冷卻裝置。
同一天,在該核電廠的另一個(gè)地方的突擊檢查中發(fā)現(xiàn)了更多的數(shù)字貨幣采礦設(shè)備。該單位沒收了16個(gè)視頻卡,一個(gè)系統(tǒng)單元,其中包括軍用單元的庫存號(hào),七個(gè)硬盤,兩個(gè)固態(tài)硬盤,一個(gè)USB閃存盤和一個(gè)路由器。
這些計(jì)算機(jī)設(shè)備并未在核電廠網(wǎng)絡(luò)內(nèi)獲得授權(quán),組成了一個(gè)可以訪問互聯(lián)網(wǎng)的單獨(dú)的局域網(wǎng),并用于接收加密貨幣。此外,SBU員工在SUE NPP的其他場(chǎng)所發(fā)現(xiàn)并沒收了CTC聯(lián)合媒體轉(zhuǎn)換器,光纖和網(wǎng)絡(luò)電纜,理論上這些電纜都不應(yīng)該出現(xiàn)在這些場(chǎng)所內(nèi)。
該電廠由國有企業(yè)Energoatom運(yùn)營,注冊(cè)為國家機(jī)密,這意味著其場(chǎng)地內(nèi)不允許使用外部計(jì)算設(shè)備。與互聯(lián)網(wǎng)進(jìn)行外聯(lián)挖礦,可能導(dǎo)致破壞了核設(shè)施的安全,并最終泄露核電站物理保護(hù)系統(tǒng)的機(jī)密信息。
2019年8月21日,烏克蘭安全局(SBU)因此事發(fā)起逮捕行動(dòng),此次事故被列為國家機(jī)密泄露事故。據(jù)當(dāng)?shù)孛襟w報(bào)道,由于有人懷疑安全發(fā)電廠數(shù)據(jù)泄漏,當(dāng)局已啟動(dòng)刑事訴訟程序。
>>委內(nèi)瑞拉再次大范圍停電事件
當(dāng)?shù)貢r(shí)間7月22日,委內(nèi)瑞拉又一次遭遇大范圍停電,據(jù)路透社報(bào)道,委內(nèi)瑞拉的23個(gè)州中有一半以上受到了停電影響。
停電發(fā)生約1小時(shí)后,委新聞和通信部長羅德里格斯在委內(nèi)瑞拉國家電視臺(tái)發(fā)表講話時(shí)表示,初步調(diào)查結(jié)果顯示,造成本次大規(guī)模停電的原因是委供電系統(tǒng)中最主要的古里水電站遭到電磁攻擊。委內(nèi)瑞拉電力供應(yīng)逾6成來自水力發(fā)電,而絕大多數(shù)電量由古里水電站提供。
圖表 14 委內(nèi)瑞拉停電區(qū)域
>>南非電力公司City Power遭勒索軟件攻擊
7月25號(hào),南非約翰內(nèi)斯堡City Power 電力公司遭勒索軟件攻擊,導(dǎo)致一些居民區(qū)的電力中斷。由 @CityPowerJhb 官方 Twitter 賬號(hào)公布的信息可知,這家企業(yè)負(fù)責(zé)為當(dāng)?shù)鼐用裉峁╊A(yù)付費(fèi)電力供應(yīng),但惡意軟件加密了該公司的數(shù)據(jù)庫、內(nèi)部網(wǎng)絡(luò)、Web Apps、以及官方網(wǎng)站。
該公司數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用程序等,遭勒索軟件加密而無法運(yùn)作。這也導(dǎo)致客戶無法透過網(wǎng)站買電、賣電、上傳發(fā)票及存取公司網(wǎng)站。雖然電廠緊急調(diào)派人力,但雪上加霜的是,電廠的派工維修系統(tǒng)也無法運(yùn)作,讓停電修復(fù)的作業(yè)受到影響,造成用戶抱怨電廠沒有備援機(jī)組,而不能在這段期間取代供電,斷電時(shí)間長達(dá)12小時(shí)。
圖表 15 CityPowerJhb官方Twitter賬號(hào)公布的信息
2019年8月
>>我國部分醫(yī)療電力系統(tǒng)遭勒索軟件攻擊
騰訊安全御見威脅情報(bào)中心通過蜜罐系統(tǒng)監(jiān)測(cè)到Ouroboros勒索病毒在國內(nèi)有部分傳播,監(jiān)測(cè)數(shù)據(jù)表明,已有湖北、山東等地的醫(yī)療、電力系統(tǒng)的電腦遭遇該勒索病毒攻擊。經(jīng)分析發(fā)現(xiàn),該病毒的破壞僅在部分有限的情況可解密恢復(fù),但在病毒按預(yù)期運(yùn)行,基礎(chǔ)設(shè)施完善情況下,暫無法解密。
Ouroboros勒索病毒首次出現(xiàn)于2019年8月中旬,目前發(fā)現(xiàn)其主要通過垃圾郵件渠道傳播,由于其PDB路徑中包含Ouroboros故因此得名,該病毒加密文件后會(huì)添加 .Lazarus擴(kuò)展后綴。
2019年9月
>>印度核電公司遭受朝鮮黑客攻擊
新聞社IANS 9月初的報(bào)道稱,Kudankulam核電站的兩個(gè)反應(yīng)堆之一已中止運(yùn)行,惡意軟件Dtrack的變體感染了核電站的管理網(wǎng)絡(luò),可能包括竊取設(shè)施的鍵盤記錄、檢索瀏覽器歷史記錄,以及列出正在運(yùn)行的進(jìn)程等,并不確定是否應(yīng)能想到用于控制核反應(yīng)堆的關(guān)鍵內(nèi)網(wǎng)。
該核電站主要由俄羅斯設(shè)計(jì)和提供反應(yīng)堆機(jī)組,為印度南部電網(wǎng)提供電力。這座核電廠已成為印俄最大的合作項(xiàng)目之一。
圖表 16 印度庫丹庫拉姆核電站
Pukhraj Singh是一名印度的威脅情報(bào)分析師。據(jù)他透露,9月4日以前,第三方機(jī)構(gòu)發(fā)現(xiàn)針對(duì)印度核電廠的網(wǎng)絡(luò)攻擊活動(dòng),并告知了他,于9月4日通報(bào)了英國NCSC機(jī)構(gòu),并在9月7日對(duì)外提起了此事件
圖表 17 Pukhraj Singh披露印度核電站事故
10月28日,某Twitter用戶披露了一個(gè)名為DTrack的病毒樣本,并且指出其內(nèi)嵌了疑似與印度核電廠相關(guān)的用戶名KKNPP,隨后引發(fā)熱議。
10月29日,各大新聞媒體公開披露該事件,并且印度安全人員對(duì)歷史情況進(jìn)行一些解釋和說明,并且披露攻擊者已經(jīng)獲取核電廠內(nèi)部域控級(jí)別的訪問權(quán)限。
最初,核電站方面否認(rèn)他們?cè)馐芰巳魏螑阂廛浖腥?,發(fā)表聲明將這些推文描述為“虛假信息”。
10月30日,這一被官方稱之為“虛假消息”的事件卻被自己推翻。他們?cè)诹硪环萋暶髦谐姓J(rèn)核電站確實(shí)感染了黑客組織創(chuàng)建的惡意軟件,該軟件由黑客組織Lazarus Group開發(fā),屬于Dtrack后門木馬的變體。
但是,核電站方面也強(qiáng)調(diào),朝鮮惡意軟件僅感染了其管理網(wǎng)絡(luò),但未到達(dá)其關(guān)鍵的內(nèi)部網(wǎng)絡(luò),這些內(nèi)部網(wǎng)絡(luò)用于控制發(fā)電廠的核反應(yīng)堆。言外之意,朝鮮攻擊并非造成核反應(yīng)堆“停工”的原因。
韓國Issue Makers Lab的研究人員說,攻擊者為來自朝鮮的Kimsuky組織,并透露稱,攻擊印度核能部門的一名黑客正在使用僅在朝鮮生產(chǎn)和使用的朝鮮自有品牌的計(jì)算機(jī)。一名黑客使用的IP來自朝鮮的平壤。而朝鮮黑客知道印度工廠的IP網(wǎng)絡(luò)。他們滲透到了工廠內(nèi)部,但沒有發(fā)送破壞性代碼。
Issue Maker Lab發(fā)現(xiàn),黑客使用的計(jì)算機(jī)是在朝鮮生產(chǎn)且僅在朝鮮使用的型號(hào)。這幫助他們獲得了機(jī)器的MAC地址以及IP地址的詳細(xì)信息。兩者都帶有朝鮮簽名。他們的調(diào)查還發(fā)現(xiàn),惡意軟件代碼中使用了朝鮮語。
美國《原子科學(xué)家公報(bào)》日前報(bào)道,雖然庫丹庫拉姆核電站反應(yīng)堆運(yùn)行沒有受到影響,但這一事件再次發(fā)出警告,人類社會(huì)兩個(gè)最大的安全風(fēng)險(xiǎn),即網(wǎng)絡(luò)攻擊與核威懾,正在發(fā)生危險(xiǎn)的“碰撞”,其嚴(yán)重后果,完全可能演變?yōu)闊o法控制的人禍。
>>英國大范圍停電事件
路透社報(bào)道,9月9日晚高峰,英國遭遇大范圍停電,地鐵停運(yùn)、機(jī)場(chǎng)癱瘓、交通信號(hào)燈熄滅,一些醫(yī)院甚至備用發(fā)電機(jī)熄火。按照英國交通警察的說法,這次停電及其造成的影響“史無前例”。
英國英格蘭、威爾士等地區(qū)遭遇停電,首都倫敦多個(gè)區(qū)域未能幸免。雖然停電時(shí)長最多1個(gè)小時(shí),但是停電造成的“混亂狀況”預(yù)期會(huì)持續(xù)一整天。
停電恰逢周五晚,英國媒體說“這是一周中最繁忙的時(shí)段之一”,大量民眾剛剛結(jié)束一周的工作,搭乘地鐵、城際列車或飛機(jī)回家度周末。
英國這次停電規(guī)模較大,暫不清楚總共多少民眾受影響。西部電力公司估算,這家電企的大約50萬名用戶受停電影響。北部電力公司說,這家電企的大約11萬名用戶遭遇停電,東北部城市紐卡斯?fàn)柕臋C(jī)場(chǎng)和地鐵運(yùn)行受影響。
英國國家電力公司披露,當(dāng)天停電與兩臺(tái)發(fā)電機(jī)出現(xiàn)故障相關(guān),故障已經(jīng)排除。
>>伊朗石油和金融設(shè)施遭受大范圍攻擊
當(dāng)?shù)貢r(shí)間9月22日晚,伊朗遭遇了一次大規(guī)模襲擊,整個(gè)伊朗的網(wǎng)絡(luò)系統(tǒng)遭遇了不明來源的大規(guī)模攻擊,其中重點(diǎn)攻擊目標(biāo)在于伊朗的石油和金融設(shè)施,對(duì)此毫無準(zhǔn)備的伊朗,受到了慘重?fù)p失。在短時(shí)間之內(nèi),其金融和石油設(shè)施迅速癱瘓,一切正常交易都無法進(jìn)行下去。好在德黑蘭方面及時(shí)向俄羅斯請(qǐng)求援助,俄羅斯派遣了大量網(wǎng)絡(luò)戰(zhàn)專家遠(yuǎn)程指揮伊朗網(wǎng)絡(luò)安全部門反擊,才度過了這一劫。
根據(jù)伊朗高層不愿透露姓名的官員表示,目前俄羅斯已經(jīng)確定攻擊來源正是美國中央情報(bào)局。中情局希望用這種手段,讓伊朗暴露出自己的弱點(diǎn),最終達(dá)到使得伊朗方面屈膝投降的目的。
近日沙特油田被炸,美國指責(zé)伊朗在背后搗鬼,揚(yáng)言伊朗要為其負(fù)責(zé)。就沙特油田事件,美伊關(guān)系再度惡化,所以美國在幕后支持這次網(wǎng)絡(luò)攻擊行動(dòng)的可能性極大。
>>德國汽車零部件制造商境外工廠遭惡意軟件攻擊
9月25號(hào),總部位于德國的汽車零部件和國防解決方案提供商Rheinmetall宣布,由于受到惡意軟件攻擊,其在美國,巴西和墨西哥的汽車工廠的生產(chǎn)受到了干擾。
該攻擊于9月24日晚上開始,攻擊涉及一個(gè)未知的惡意軟件。該公司表示,該事件導(dǎo)致該惡意軟件進(jìn)入IT系統(tǒng)的工廠受到“重大破壞”。
該公司認(rèn)為,從攻擊中恢復(fù)需要花費(fèi)兩到四周的時(shí)間,并且估計(jì)從第二次攻擊開始,該事件將導(dǎo)致每周損失300萬歐元(330萬美元)至400萬歐元(440萬美元)。該公司已向客戶保證,它將能夠在短期內(nèi)交付訂單。
攻擊主要針對(duì)美洲(美國,墨西哥,巴西)的系統(tǒng),而僅針對(duì)汽車系統(tǒng)。該地區(qū)以外和國防領(lǐng)域的其他系統(tǒng)目前都沒有受到影響。
2019年10月
>>伊朗阿巴丹煉油廠起火
10月20日,國際知名刊物作者,英國廣播公司(BBC)通訊員Babak Taghvaee在Twitter上附帶視頻發(fā)布伊朗阿巴丹煉油廠起火消息,并稱火災(zāi)是由確認(rèn)的網(wǎng)絡(luò)攻擊所為。
阿巴丹(Abadan)煉油廠建于1912年,是伊朗同類煉油廠中的最大的一家,也曾經(jīng)是世界上最大的煉油廠,并且目前和中方企業(yè)存在合作關(guān)系。
圖表 18 Babak Taghvaee發(fā)布的消息和視頻
很巧的是,就在前幾日的10月16日,路透社援引美國兩名官員話稱“美在對(duì)伊朗發(fā)起秘密網(wǎng)絡(luò)攻擊行動(dòng),以還擊9月14日沙特石油被襲之恨”。
圖表 19 路透社發(fā)布的美國官員對(duì)伊朗發(fā)起網(wǎng)絡(luò)攻擊的報(bào)道
16日的國防會(huì)議上,美國軍方向特朗普列出多項(xiàng)打擊伊朗的選項(xiàng),包含攻擊位于伊朗阿巴丹的全球最大煉油廠之一,又或位于哈爾克島的伊朗最大石油出口設(shè)施,可重創(chuàng)伊朗的石油生產(chǎn)及出口能力。
一向忠實(shí)支持特朗普政策的共和黨參議員格雷厄姆,形容襲擊沙特石油設(shè)施屬“戰(zhàn)爭(zhēng)行動(dòng)”,美國需果斷回應(yīng),包含考慮攻擊伊朗煉油廠。然而,多名共和黨參議員包含參院外交委員會(huì)主席里施,則敦促政府避免倉促?zèng)Q定。可見,伊朗阿巴丹此前就被列為攻擊目標(biāo)。
2019年11月
>>墨西哥國有石油公司Pemex遭勒索軟件攻擊
11月10日,墨西哥國有石油公司Pemex遭受到勒索軟件攻擊,被索要565 個(gè)比特幣,約490萬美元的贖金。不過Pemex表示,只有不到5%的電腦受到了影響。不過根據(jù)內(nèi)部備忘錄的說法,要求所有員工切勿打開電腦,在本周晚些時(shí)候再重新開機(jī),但拒絕按攻擊者的要求在48小時(shí)內(nèi)支付贖金。
在隨后的推特聲明中,Pemex表示他們的運(yùn)作一切正常,燃料生產(chǎn)、供應(yīng)和庫存沒有受到影響。
最初有報(bào)道稱,Pemex受到了Ryuk勒索軟件的影響,但泄露出的贖金信息和Tor付款網(wǎng)站都證實(shí)這是DoppelPaymer勒索軟件,屬于BitPaymer勒索軟件的變種。
在安全研究人員Pollo分享的贖金信息截圖中,我們可以清楚地識(shí)別出DoppelPaymer,這也和BitPaymer的贖金信息非常相似。
圖表 20 Pemex收到的勒索信截圖
2019年12月
>>英國核電站遭受攻擊
12月2號(hào),電訊報(bào)和都市晨報(bào)報(bào)道,一份周末披露的報(bào)告稱英國一家核電廠遭到了網(wǎng)絡(luò)攻擊,目前仍然沒有恢復(fù)正常運(yùn)營。
圖表 21 英國核電廠遭網(wǎng)絡(luò)攻擊
事件原委由telegraph公司提供,該媒體稱:GCHQ的子公司國家網(wǎng)絡(luò)安全中心(NCSC)一直在秘密地向英國一家核電公司提供援助,因?yàn)樵摴驹谠馐芫W(wǎng)絡(luò)攻擊后一直難以恢復(fù)。
核退役局(NDA)使用信息自由法獲得的一份報(bào)告提到,核電公司的相關(guān)工作人員意識(shí)到核發(fā)電廠的一項(xiàng)重要業(yè)務(wù)已受到網(wǎng)絡(luò)攻擊,造成負(fù)面影響,目前必須依靠NCSC的專業(yè)知識(shí)來應(yīng)對(duì),幫助業(yè)務(wù)恢復(fù)。該文件來自2019年3月13日的董事會(huì)委員會(huì)會(huì)議,這是首次成功證明對(duì)英國一家核公司進(jìn)行網(wǎng)絡(luò)攻擊的證據(jù)。
目前尚不清楚網(wǎng)絡(luò)攻擊造成了什么損害或網(wǎng)絡(luò)攻擊是否使公共安全受到威脅。NCSC拒絕列出參與攻擊的公司或提供有關(guān)攻擊的詳細(xì)信息。而負(fù)責(zé)清理舊核電廠和乏燃料的NDA說,提供詳細(xì)信息是“不適當(dāng)?shù)?rdquo;,理由是“該事件與NDA集團(tuán)以外的組織有關(guān)”。
這些披露可能會(huì)促使人們猜測(cè)英國核電站的安全漏洞,無法提供詳細(xì)信息引起了人們對(duì)英國核電部門透明度和安全性的擔(dān)憂。獨(dú)立核研究顧問戴維·洛瑞(David Lowry)表示,該部門將對(duì)透露的細(xì)節(jié)保持謹(jǐn)慎。他說,他們非常清楚,他們只需要發(fā)生一次安全事件,就會(huì)破壞整個(gè)系統(tǒng)的安全聲譽(yù)。……僅出于聲譽(yù)原因,他們承受不了失誤的負(fù)擔(dān)。因此不會(huì)過多披露細(xì)節(jié)。但從描述來看,此次網(wǎng)絡(luò)攻擊很有可能已經(jīng)獲取到極高的系統(tǒng)權(quán)限,否則僅靠隔離受害主機(jī)從而批量重裝系統(tǒng)的方式即可進(jìn)行業(yè)務(wù)恢復(fù)。
其中,原文稱關(guān)于攻擊目標(biāo)的猜測(cè)可能集中在法國電力公司(EDF)上,法國電力公司在英國主導(dǎo)著核能發(fā)電。而該公司卻拒絕在本周末就此事發(fā)表評(píng)論。
>>美國RavnAir航空公司遭受網(wǎng)絡(luò)攻擊
12月22日,據(jù)報(bào)道,黑客發(fā)起了一次針對(duì)Ravn Air航空公司的網(wǎng)絡(luò)攻擊,最終導(dǎo)致飛機(jī)維修等關(guān)鍵系統(tǒng)關(guān)閉,迫使Ravn Air航空公司取消了至少6個(gè)阿拉斯加的航班,影響了約260名乘客。
該航空公司在一份書面聲明中表示,因?yàn)榫W(wǎng)絡(luò)攻擊迫使其斷開了Dash 8的維護(hù)系統(tǒng)和備份,因此公司在中午之前取消了所有涉及Dash 8飛機(jī)的航班。該航空公司為阿拉斯加的100多個(gè)社區(qū)提供服務(wù),其中許多社區(qū)無法通過公路到達(dá)。目前,Ravn Air航空公司正在與美國聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全專家合作,以恢復(fù)系統(tǒng)并調(diào)查網(wǎng)絡(luò)攻擊。
23號(hào),公司對(duì)外宣布:我們將盡快在Dash-8航班上按照正常的時(shí)間表運(yùn)行,我們將嘗試在接下來的兩天內(nèi)增加航班數(shù)量,盡可能在其他航班上重新為受影響乘客安排座位。
>>中東遭伊朗惡意軟件ZeroCleare攻擊
12月20號(hào),IBM的X-Force事件響應(yīng)和情報(bào)服務(wù)(IRIS)發(fā)布報(bào)告,披露了一種全新的破壞性數(shù)據(jù)清除惡意軟件 ZeroCleare,該惡意軟件以最大限度刪除感染設(shè)備數(shù)據(jù)為目標(biāo)。
IBM雖沒有透露此次遭受攻擊的具體公司,但可以確認(rèn)ZeroCleare瞄準(zhǔn)的是中東的能源和工業(yè)部門,初步估算已有1400臺(tái)設(shè)備遭感染。ZeroCleare用來執(zhí)行破壞性攻擊,主要是擦除主引導(dǎo)記錄(MBR),并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū),說白了就是大肆刪數(shù)據(jù)。
IBM報(bào)告也證實(shí),ZeroCleare和破壞性惡意軟件Shamoon同宗,都是出自伊朗資助的頂級(jí)黑客組織之手。不同的是,Shamoon 來自APT33組織,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)組織協(xié)作開發(fā)。
圖表22 IBM發(fā)布的ZeroCleare惡意軟件報(bào)告截圖
伊朗黑客組織APT34(Oilrig)至少從2014年起就瞄準(zhǔn)中東和國際受害者,目標(biāo)也多集中在金融、政府、能源、化工和電信等關(guān)乎國家安全的重要領(lǐng)域??梢哉f,APT34的整體攻擊動(dòng)向,與伊朗國家利益和作戰(zhàn)時(shí)間安排保持高度一致。
通過各種網(wǎng)絡(luò)手段,幫助政府達(dá)成政治、經(jīng)濟(jì)、軍事目的,是APT34一類國家級(jí)黑客組織行動(dòng)的核心。今年早期,APT34(Oilrig)就曾偽裝成劍橋大學(xué)相關(guān)人員,使用LinkedIn傳送惡意文件,進(jìn)行網(wǎng)絡(luò)釣魚攻擊,預(yù)謀竊取重要信息。
從披露的攻擊進(jìn)程來看,執(zhí)行ZeroCleare惡意程序前,黑客會(huì)先通過暴力攻擊,訪問安全性較弱的公司網(wǎng)絡(luò)帳戶,而當(dāng)拿到公司服務(wù)器帳戶的訪問權(quán)限后,就會(huì)利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。
隨后,攻擊者便會(huì)在入侵設(shè)備商,開啟橫向擴(kuò)散模式,部署ZeroCleare數(shù)據(jù)摧毀惡意軟件,上演破壞性的數(shù)據(jù)擦除攻擊。至于攻擊細(xì)節(jié)上,一個(gè)叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。
EldoS RawDisk是一個(gè)主要用于與文件、磁盤和分區(qū)進(jìn)行交互的合法工具包。為了順利運(yùn)行ZeroCleare,攻擊者會(huì)先通過名為soy.exe的中間文件,加載易受攻擊簽名驅(qū)動(dòng)程序VBoxDrv,強(qiáng)制(DSE)接受并運(yùn)行驅(qū)動(dòng)程序。
成功拿到權(quán)限后,ZeroCleare就會(huì)通過濫用合法工具包EldoS RawDisk的方式,擦除MBR并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū),達(dá)到破壞性攻擊的目的。
值得一提的是,為了獲得設(shè)備核心的訪問權(quán)限,ZeroCleare還會(huì)使用易受攻擊的驅(qū)動(dòng)程序和惡意的PowerShell / Batch腳本,繞過Windows控件。
>>韓國數(shù)百家工業(yè)企業(yè)文件被竊取
12月18號(hào),美國物聯(lián)網(wǎng)及工控系統(tǒng)安全公司CyberX威脅情報(bào)小組公布了一項(xiàng)針對(duì)韓國工業(yè)企業(yè)的高級(jí)持續(xù)性間諜活動(dòng)。據(jù)介紹,攻擊者會(huì)使用帶有惡意附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件,偽裝成PDF文件發(fā)動(dòng)攻擊。成功入侵后,攻擊者會(huì)從瀏覽器和電子郵件客戶端中竊取登錄數(shù)據(jù),還會(huì)搜尋各種類型的文檔和圖像。
值得注意是,一旦有關(guān)工業(yè)設(shè)備設(shè)計(jì)的專有信息、商業(yè)秘密、知識(shí)產(chǎn)權(quán)被竊取,輕則攻擊者會(huì)對(duì)攻擊目標(biāo)進(jìn)行網(wǎng)絡(luò)偵察,發(fā)動(dòng)勒索攻擊,或者將這些信息出售給競(jìng)爭(zhēng)對(duì)手和尋求提高其競(jìng)爭(zhēng)地位的國家;重則攻擊者可以憑借對(duì)IoT / ICS網(wǎng)絡(luò)的遠(yuǎn)程RDP訪問權(quán)限,對(duì)該國重要且具有軍事意義的工廠布局了如指掌,并可在某關(guān)鍵時(shí)刻,直接對(duì)該國的工業(yè)企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞性打擊。
另外,危機(jī)比我們想象的還要快。據(jù)統(tǒng)計(jì),已有數(shù)百家韓國工業(yè)企業(yè)受到影響。其中,最大受害者為一家關(guān)鍵基礎(chǔ)設(shè)施設(shè)備的制造商,它專為化工廠,輸電、配電設(shè)施或可再生能源行業(yè)的公司提供產(chǎn)品。此外,鋼鐵制造商、化工廠建設(shè)公司、管道制造商、閥門制造商、工程公司等相關(guān)企業(yè)也確認(rèn)受到影響。
更糟糕的是,攻擊活動(dòng)已波及全球。數(shù)據(jù)顯示,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)系統(tǒng)也不同程度受到影響。
該APT組織使用Separ惡意軟件新版本竊取敏感數(shù)據(jù)和文件,包括工程布局、有關(guān)工業(yè)設(shè)備設(shè)計(jì)的專有信息等。截至目前,已影響了至少200個(gè)系統(tǒng),受害者約60%的企業(yè)為韓國工業(yè)企業(yè)。此外,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)企業(yè)也不同程度受到影響。
圖表 23 Separ惡意軟件影響范圍
總結(jié)和展望
整理完2019年的工控相關(guān)安全事件,心情頗為復(fù)雜。工控行業(yè)安全事故一旦發(fā)生,帶來的影響不可估量,不僅有巨大的經(jīng)濟(jì)損失,也帶來巨大的社會(huì)影響,直接影響到成千上萬人的日常生活。
總結(jié)2019年全球工控安全事件,可以得出下面幾個(gè)結(jié)論:
1、黑客組織的重點(diǎn)攻擊目標(biāo)是制造行業(yè)和能源行業(yè),個(gè)人黑客較少針對(duì)工控行業(yè)發(fā)起攻擊。
2、制造行業(yè),主要遭遇勒索軟件和信息竊取攻擊。勒索軟件導(dǎo)致生產(chǎn)線停工對(duì)工廠帶來巨大的經(jīng)濟(jì)壓力,惡意分子要求他們迅速付款以恢復(fù)運(yùn)營,而且,停機(jī)、清理、合同支付和股價(jià)下跌之間的成本可能是巨大而無法估量的。另外制造行業(yè)的機(jī)密數(shù)據(jù)也具有極其重要的商業(yè)價(jià)值,是有組織的黑客的重點(diǎn)目標(biāo)。一些重要的大型制造廠商也可能遭遇國家級(jí)黑客組織的攻擊,這些攻擊不以勒索為目的,而是為了破壞生產(chǎn),造成嚴(yán)重的經(jīng)濟(jì)損失。
3、能源行業(yè)(包括電力、石油等),主要遭遇破壞性攻擊。能源行業(yè)是社會(huì)正常運(yùn)行的基礎(chǔ),沒有電、沒有石油,現(xiàn)代社會(huì)無法正常運(yùn)行。從早些年的“震網(wǎng)”事件,到今年這些核電站、水電等電力系統(tǒng)和煉油廠的安全事件,充分表明針對(duì)能源行業(yè)的攻擊事件正越來越多。
4、黑客組織的國家背景凸顯。低廉的攻擊代價(jià)和高危的攻擊結(jié)果,讓破壞性攻擊逐漸泛化,越來越多擁有國家支持背景的黑客,開始利用破壞性攻擊緊盯能源、制造、金融等關(guān)鍵性重要領(lǐng)域。
總體來看,工控安全行業(yè)還有很長的路要走,還有很大的市場(chǎng)要開拓,相應(yīng)也有很大的壓力要承擔(dān),可謂是“任重而道遠(yuǎn)”。針對(duì)工控行業(yè)的網(wǎng)絡(luò)攻擊和竊密,可以用很小的投入,換來極大的破壞力或收益,正被越來越多的黑客組織所重視,類似的安全事件今后還會(huì)越來越多。“沒有網(wǎng)絡(luò)安全就沒有國家安全”,工控安全更是直接關(guān)系到國際民生,關(guān)系到國家安全,責(zé)任重大。越來越多國家背景的黑客組織出現(xiàn),網(wǎng)絡(luò)攻擊和竊密已經(jīng)逐漸成為某些國家和黑客組織的日?;顒?dòng),這都為網(wǎng)絡(luò)安全防護(hù)帶來極大的困難。除了傳統(tǒng)的安全防護(hù)手段,工控安全防護(hù)工作必須轉(zhuǎn)變思路,以黑客的角度來思考問題,做安全防護(hù)。
我國各級(jí)網(wǎng)信部門、工廠企業(yè)、能源部門和金融部門等都應(yīng)以習(xí)總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想為指導(dǎo),樹立正確的網(wǎng)絡(luò)安全觀,全面貫徹落實(shí)總體國家安全觀,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù),加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè),不斷創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)使用機(jī)制,深入開展網(wǎng)絡(luò)安全知識(shí)技能普及工作,全方位筑牢國家網(wǎng)絡(luò)安全屏障、推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)。