国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

序

在繁忙的工作中不知不覺又迎來了新的一年，年末歲初，正是我們總結(jié)過去展望未來的時間。對于工控安全行業(yè)，2019年可以說是具有劃時代意義的一年。

5月1號，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例被納入《國務(wù)院2019年立法工作計劃》，由網(wǎng)信辦、工業(yè)和信息化部、公安部負(fù)責(zé)起草。

12月1號，萬眾矚目的“等保2.0”正式開始實施，工業(yè)控制系統(tǒng)安全正式被納入等保2.0的評測范圍。

12月3號，國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》（報批稿）試點工作正式啟動。關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護的主要內(nèi)容包含公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，其中能源、交通、水利和很多公共服務(wù)都離不開工業(yè)控制系統(tǒng)。

除了這些政策法規(guī)，大家更關(guān)心更有興趣的是真實發(fā)生的安全事件或安全事故。安全行業(yè)和保險行業(yè)很相似，沒有事故發(fā)生時感覺不到它的存在和價值，只有血淋淋的事故才能改變或加深大家的認(rèn)識和看法。2019年發(fā)生了很多重大的工控安全事件，這些事件也將改變或加深我們對于工控安全以及關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的認(rèn)識和看法。

本文匯編了2019年互聯(lián)網(wǎng)上披露的工業(yè)控制相關(guān)的安全事件或安全事故（很多工控安全事故不在網(wǎng)上披露），這些材料主要從國內(nèi)、國外的各種官方和非官方網(wǎng)站收集整理而來，雖然我們盡量參考多方資料進行校對，但是難免會有不準(zhǔn)確的地方。很多黑客組織入侵攻擊的細節(jié)都需要長期的分析模擬才能反向推測還原當(dāng)時真實的場景，所以今年發(fā)生的大部分事件還沒有最終的分析結(jié)果，目前只有各方面媒體、機構(gòu)和專家的推測，甚至有些事件還不能確認(rèn)為攻擊事件，大家僅作參考。

如果各位讀者發(fā)現(xiàn)錯誤或失真的地方，請不吝指正，如果發(fā)現(xiàn)侵犯了您的知識產(chǎn)權(quán)，請盡快聯(lián)系我們，我們將在第一時間響應(yīng)并確認(rèn)修改。

匯總分析

2019年，全球各地工控安全問題事件數(shù)量逐步上升，今年工控安全事件的報告數(shù)量達到329件。從2012年至今年的工控安全事件報告數(shù)量程逐年上升趨勢，如下圖所示：

圖表 1 2012~2019 年全球工控安全事件報告數(shù)量（數(shù)據(jù)來源：中國產(chǎn)業(yè)信息）

工業(yè)控制的細分領(lǐng)域眾多，據(jù)調(diào)查近年來工控安全事件涉及超過15個行業(yè)，安全事件的行業(yè)分布如下圖所示：

圖表 2 工控安全事件所屬行業(yè)細分（數(shù)據(jù)來源：中國產(chǎn)業(yè)信息）

目前工控市場安全只覆蓋到了其中部分行業(yè)的部分企業(yè)，要實現(xiàn)全面防護還有許多路要走。

下面我們來具體看一些網(wǎng)上公開的工業(yè)信息安全事件。

2019年1月

>>>愛爾蘭都柏林電車系統(tǒng)遭黑客攻擊

1月3日，據(jù)據(jù)《愛爾蘭審查員報》報道，控制愛爾蘭首都都柏林電車系統(tǒng)的網(wǎng)站Luas，早晨遭黑客入侵后下線，黑客要求五天內(nèi)支付贖金。

1月3號一大早，該網(wǎng)站的訪問者收到了黑客發(fā)來的信息，聲稱已從運營商Transdev Ireland竊取了數(shù)據(jù)，若不支付一枚比特幣(約3300歐元或3800美元)的贖金，這些數(shù)據(jù)將會在網(wǎng)上發(fā)布。

圖表 3 都柏林電廠運營網(wǎng)站收到的勒索信

在這封郵件中，黑客表示之前已就安全漏洞問題聯(lián)系過電車運營商，但運營商并未作出回應(yīng)，他們對此感到不滿。黑客這次成功地吸引了Transdev的注意，這一點在今早發(fā)給乘客的官方推特上得到證實，該推特提醒乘客不要訪問受感染的網(wǎng)站。Luas網(wǎng)站已經(jīng)離線，工程師們正在審查其安全性。

>>>法國亞創(chuàng)集團遭勒索軟件攻擊

1月24日，攻擊者利用LockerGoga勒索軟件對亞創(chuàng)集團進行了勒索攻擊。

1月28日，亞創(chuàng)集團發(fā)布聲明，稱技術(shù)專家正在對此次勒索事件進行取證跟進。由于此次勒索事件，亞創(chuàng)集團暫停了全球多項業(yè)務(wù)。

法國亞創(chuàng)集團成立于1982年，是一家提供創(chuàng)新和工程咨詢服務(wù)的全球性公司，業(yè)務(wù)遍布全球30多個國家，涉及汽車、通信、生命科學(xué)、航空航天、國防、能源、金融和鐵路等行業(yè)。

圖表 4 法國亞創(chuàng)集團發(fā)布被網(wǎng)絡(luò)攻擊的聲明

圖表 5 法國亞創(chuàng)集團收到的勒索信

2019年2月

>>印度國有天然氣公司數(shù)據(jù)泄露

2月10號，外媒報道，由于網(wǎng)絡(luò)安全措施不到位，印度國有天然氣公司Indane又一次暴露了數(shù)以百萬計的Aadhaar生物識別數(shù)據(jù)庫信息。問題出在Indane面向經(jīng)銷商和渠道商的網(wǎng)站上，盡管該網(wǎng)站需要有效的用戶名和密碼驗證才能進行訪問，但部分內(nèi)容已經(jīng)被谷歌搜索引擎編入索引。如此一來，所有人都能夠繞過登陸頁面，直接獲得對經(jīng)銷商數(shù)據(jù)庫的自有訪問權(quán)限。

據(jù)悉，這些數(shù)據(jù)是由一名安全研究人員發(fā)現(xiàn)的，但因害怕印度當(dāng)局的報復(fù)，他要求媒體在報道中匿名。

圖表 6 印度一個安全研究人員的私信

圖表 7 印度國有天然氣公司泄露的數(shù)據(jù)截圖

>>日本光學(xué)產(chǎn)品制造商Hoya遭受網(wǎng)絡(luò)攻擊

據(jù)外媒報道，日本光學(xué)產(chǎn)品制造商Hoya公司稱，公司在2月底遭受了一次嚴(yán)重的網(wǎng)絡(luò)攻擊，100多臺電腦感染了病毒，導(dǎo)致Hoya公司的用戶ID和密碼被黑客竊取。黑客還在攻擊期間試圖挖掘加密貨幣，工廠生產(chǎn)線因此停止了三天。

Hoya公司是日本最大的公司之一，也是最大的光學(xué)產(chǎn)品生產(chǎn)商，它的年收入超過41億美元。

Hoya表示，網(wǎng)絡(luò)攻擊發(fā)生后，一臺控制網(wǎng)絡(luò)的計算機服務(wù)器首先停機，工人們無法使用軟件來管理訂單和生產(chǎn)，因此工業(yè)產(chǎn)出比正常水平下降了大約40%。隨后，病毒也開始在其他電腦上感染，但最終在開始加密貨幣挖掘操作之前被成功阻止。

據(jù)稱攻擊已經(jīng)持續(xù)了三天，受影響的工廠都位于泰國，不過有關(guān)攻擊的詳細信息尚未公布。

2019年3月

>>挪威海德魯公司遭勒索軟件攻擊

3月19日，挪威海德魯（Norsk Hydro）公司舉行新聞發(fā)布會，稱3月18日午夜，公司遭到勒索軟件攻擊，致使主機死機，導(dǎo)致生產(chǎn)業(yè)務(wù)中斷。參會的NorCERT（挪威國家應(yīng)急響應(yīng)中心）代表稱此次攻擊事件是由一個名為LockerGoga的勒索軟件發(fā)起的，可能涉及到對海德魯公司的Active Directory系統(tǒng)的攻擊。

海德魯公司創(chuàng)建于1905年，主要經(jīng)營石油、能源、輕金屬（鋁、鎂）、石化產(chǎn)品、水電及設(shè)備、工業(yè)用化學(xué)品等，是世界最大的綜合性鋁業(yè)集團之一。

盡管海德魯公司安全部門竭盡全力防止感染蔓延，但該惡意軟件最后造成公司40個國家/地區(qū)的170個不同站點，約22,000臺計算機被攻擊。公司在遭遇勒索軟件攻擊之后，被迫關(guān)閉了幾項金屬擠壓計劃。網(wǎng)絡(luò)攻擊事件影響了該公司多個業(yè)務(wù)區(qū)的運營，嚴(yán)重的勒索軟件攻擊導(dǎo)致其全球計算機網(wǎng)絡(luò)系統(tǒng)宕機，無法連接其鋁材擠壓解決方案業(yè)務(wù)的生產(chǎn)系統(tǒng)，結(jié)果致使數(shù)家工廠停工，造成了極其嚴(yán)重的運營挑戰(zhàn)和經(jīng)濟損失。

公司發(fā)言人解釋稱，第一季度網(wǎng)絡(luò)攻擊的整體財務(wù)影響估計為4-4.5億挪威克朗，但其公司已經(jīng)與知名保險公司建立了強大的網(wǎng)絡(luò)保險業(yè)務(wù)。

公司證實，此次攻擊是受到了LockerGoga勒索軟件的影響，該軟件能夠加密帶有以下擴展名的文件：doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。

圖表 8 挪威海德魯公司收到的勒索信

研究人員稱，LockerGoga似乎不具備像WannaCry或NotPetya等其他惡意軟件那樣的傳播能力。相反，LockerGoga會計算受感染系統(tǒng)的Wi-Fi或以太網(wǎng)網(wǎng)絡(luò)適配器的數(shù)量，然后嘗試通過命令行（netsh.exe interface set interface disable）禁用它們，以斷開系統(tǒng)與外部的連接。

Trend Micro研究人員表示，“LockerGoga在加密之后以及注銷當(dāng)前帳戶之前運行此程序。這是一個值得注意的特征。LockerGoga通過更改帳戶的密碼將用戶排除在系統(tǒng)之外，因此其文件勒索反而顯得不那么重要。“

根據(jù)Unit 42的威脅情報副總裁Ryan Olson告訴Threatpost的信息，LockerGoga使用未記錄的Windows API調(diào)用進行通信，其中涉及WS2_32.dll，一個在Microsoft Windows中提供對網(wǎng)絡(luò)連接支持的dll文件。這意味著開發(fā)者對Microsoft Windows很熟悉，足以了解如何使用這些未記錄的API，開發(fā)人員可能正在構(gòu)建一個大型的控制網(wǎng)絡(luò)，單純的勒索軟件中很少使用復(fù)雜的網(wǎng)絡(luò)功能。

思科威脅情報組織Talos的研究人員Liska表示，與其他復(fù)雜的勒索軟件不同，勒索通知中沒有支付贖金的說明，沒有比特幣或Monero錢包地址，但含有兩個電子郵件地址來聯(lián)系攻擊者。這些功能引發(fā)了更多關(guān)于黑客意圖的猜測，因為勒索軟件通常是最不先進的惡意軟件形式之一，它們是否受到經(jīng)濟利益或其他因素的驅(qū)使？動機是否隨著時間而改變？為什么他們提供一個電子郵件地址而不是通過更常用的加密貨幣來要求支付？

Liska告訴Threatpost，目前還沒有找到攻擊的原因，還沒有人將這次攻擊歸咎于誰，他們的目標(biāo)貌似不是贖金，像是在破壞國家安全，但目前沒有證據(jù)表明這一點。

>>委內(nèi)瑞拉全國性停電事件

據(jù)法新社報道，3月7日下午4點50分，委內(nèi)瑞拉首都加拉加斯在夜幕降臨之前陷入停電狀態(tài)。全市數(shù)千房屋停電停水，地鐵停止運行，電話服務(wù)和網(wǎng)絡(luò)接入服務(wù)無法使用。令人驚恐的是，相似的情況同樣發(fā)生在了委內(nèi)瑞拉的其他城市，總統(tǒng)馬杜羅表示，這是拉丁美洲國家史上最嚴(yán)重的一場停電。

除了停水和各大公共設(shè)施及服務(wù)停止使用之外，委內(nèi)瑞拉還關(guān)閉了學(xué)校、辦公室和商店，而更多的恐慌和混亂則發(fā)生在醫(yī)院里。據(jù)法新社報道援引一位病患家屬稱，停電發(fā)生后，加拉加斯市中心JM de Rios兒童醫(yī)院的備用發(fā)電機未能啟動。馬杜羅周六透露，有超過50%的醫(yī)院未能啟動備用發(fā)電機。

當(dāng)?shù)貢r間3月7日，委內(nèi)瑞拉全國電力供應(yīng)公司Corpoelec報告稱，由于該國最大的電力設(shè)施——古里水電大壩遭到“破壞”，委內(nèi)瑞拉21個或23個州的停電情況。隨后，委內(nèi)瑞拉進入全國搶修電力設(shè)施的狀態(tài)。

委內(nèi)瑞拉總統(tǒng)馬杜羅在3月9日說，今天，我們已經(jīng)恢復(fù)了該國70%的領(lǐng)土供電，但就在中午，敵對勢力又對我們其中一個電力設(shè)施發(fā)動了網(wǎng)絡(luò)攻擊。在此之前，該設(shè)施運行良好。由于這個原因，我們本來在9日下午三點左右應(yīng)該取得的所有進展都被中斷了。馬杜羅指責(zé)美國對委內(nèi)瑞拉發(fā)動了一場電力能源戰(zhàn)爭。

電力完整恢復(fù)幾乎花了一個星期的時間。

圖表 9 委內(nèi)瑞拉停電場景

根據(jù)俄羅斯衛(wèi)星通訊社3月26號消息，委內(nèi)瑞拉新聞和通信部長豪爾赫羅德里格斯表示，該國電力系統(tǒng)再次遭到襲擊。

>>美國Hexion和Momentive公司遭勒索軟件攻擊

3月12日，Hexion和Momentive公司于遭到勒索軟件的襲擊，根據(jù)Momentive一位匿名員工的說法，該攻擊是在3月12日開始的，由于此次攻擊，大量關(guān)鍵數(shù)據(jù)都從系統(tǒng)中丟失，公司的Windows計算機出現(xiàn)了藍屏錯誤并且文件被加密。

Hexion和Momentive公司主要生產(chǎn)樹脂、有機硅和其他材料，由同一投資基金控制。

Momentive CEO發(fā)出的電子郵件中提到了由惡意軟件引起的“全球IT中斷”。根據(jù)電子郵件，該公司必須訂購數(shù)百臺新計算機來替換受感染的計算機。

Hexion發(fā)布了一份新聞稿，稱此攻擊為網(wǎng)絡(luò)安全事件，阻止了公司網(wǎng)絡(luò)中某些系統(tǒng)和數(shù)據(jù)的訪問。

根據(jù)Motherboard報道，該勒索軟件與之前對挪威海德魯公司的攻擊有許多相似之處，因此研究人員也將此次攻擊歸因于LockerGoga勒索軟件。

2019年4月

>>日本豐田汽車公司遭黑客入侵

北京時間4月1日晚間消息，據(jù)美國科技媒體ZDNet報道，豐田汽車今日公布了第二起數(shù)據(jù)泄露事件，這也是該公司在過去五周內(nèi)承認(rèn)的第二起網(wǎng)絡(luò)安全事件。

豐田汽車表示，黑客入侵了其IT系統(tǒng)，并訪問了幾家銷售子公司的數(shù)據(jù)。這些子公司包括豐田東京銷售控股公司、東京汽車、東京豐田、豐田東京卡羅拉、豐田東京銷售網(wǎng)絡(luò)、雷克薩斯Koishikawa Sales公司、Jamil Shoji（雷克薩斯Nerima）和豐田西東京卡羅拉。

公司表示，黑客訪問的服務(wù)器存儲了多達310萬名客戶的銷售信息。豐田汽車稱，目前正在調(diào)查此事，以確定黑客是否泄露了他們可以訪問的任何數(shù)據(jù)。

豐田汽車強調(diào)，客戶的財務(wù)細節(jié)并未存儲在被黑客攻擊的服務(wù)器上。至于黑客可能訪問了哪些類型的數(shù)據(jù)，豐田汽車并未披露。

豐田汽車發(fā)言人今日向媒體表示：“我們向所有使用豐田和雷克薩斯汽車的客戶表示歉意。我們認(rèn)真對待這一問題，并將在經(jīng)銷商和整個豐田集團中徹底實施信息安全措施。”

圖表 10 日本豐田越南分公司遭受入侵攻擊

>>德國化工制藥企業(yè)拜耳公司遭黑客入侵

4月初，據(jù)德國電視一臺的"每日新聞"（tagesschau.de）報道，拜耳公司（Bayer AG）向外證實，有黑客入侵了該公司的網(wǎng)絡(luò)系統(tǒng)。拜耳稱，公司的網(wǎng)絡(luò)安全中心在2018年初發(fā)現(xiàn)了一種名為"Winnti"的竊密病毒，并開始針對其實施防御措施，但無法溯源獲知黑客最早何時進入系統(tǒng)。德國媒體報道，此次出擊的是一個目標(biāo)明確、十分專業(yè)的黑客小組。

德國網(wǎng)絡(luò)安全組織(DCSO)的技術(shù)負(fù)責(zé)人羅爾（Andreas Rohr）對德廣聯(lián)表示，一旦確認(rèn)公司網(wǎng)絡(luò)系統(tǒng)受到Winnti惡意程序入侵，就清楚地表明，該企業(yè)已成為有針對性的網(wǎng)絡(luò)攻擊的目標(biāo)。DCSO是包括拜耳在內(nèi)的多家德國大型企業(yè)于2015年共同成立的，任務(wù)之一是調(diào)查網(wǎng)絡(luò)經(jīng)濟間諜活動。羅爾補充說，Winnti小組的發(fā)展速度很快。

據(jù)拜耳稱，Winnti小組的黑客以企業(yè)內(nèi)網(wǎng)（Intranet）與互聯(lián)網(wǎng)（Internet）的接點以及授權(quán)系統(tǒng)作為入侵點，作案方式非常專業(yè)。但拜耳稱，目前沒有跡象表明已發(fā)生了數(shù)據(jù)失竊。

在最早發(fā)現(xiàn)該惡意軟件時，該公司沒有馬上刪除它，而是選擇對軟件進行秘密監(jiān)視，以嘗試確定其目的以及負(fù)責(zé)植入惡意代碼的人員。

到2019年3月底，該惡意軟件被徹底刪除，公司的網(wǎng)絡(luò)系統(tǒng)已經(jīng)得到清理徹查，根據(jù)拜耳掌握的情況，入侵者尚未采取積極行動，盜取數(shù)據(jù)信息。

>>美國自來水公司Odintsovsky Vodokanal遭勒索軟件攻擊

4月15日，美國自來水公司Odintsovsky Vodokanal被勒索軟件攻擊。該惡意軟件對受感染設(shè)備和網(wǎng)絡(luò)共享上的數(shù)據(jù)都進行了加密，危及到公司的技術(shù)文檔，客戶數(shù)據(jù)以及帳單系統(tǒng)。

攻擊者的目標(biāo)是讓公司付費以恢復(fù)其數(shù)據(jù)，但奧丁佐夫斯基沃多卡納爾拒絕支付贖金，并向卡巴斯基尋求幫助。在分析了加密的數(shù)據(jù)樣本和惡意軟件本身之后，卡巴斯基專家找到了一種方法來恢復(fù)所有信息，并在幾個小時內(nèi)將解密軟件發(fā)送給了受害公司。

攻擊者通過Windows操作系統(tǒng)中內(nèi)置的標(biāo)準(zhǔn)“遠程桌面協(xié)議”服務(wù)滲透到組織內(nèi)的網(wǎng)絡(luò)。攻擊者能夠遠程破解該帳戶的密碼，并在系統(tǒng)上獲得授權(quán)。接下來，他們以手動模式在受感染計算機上執(zhí)行了惡意軟件，然后惡意軟件開始對文件進行加密。

根據(jù)卡巴斯基的數(shù)據(jù)分析，這種加密惡意軟件的大多數(shù)受害者位于俄羅斯。

>>歐洲重型汽車制造企業(yè)Aebi Sschmidt遭勒索軟件攻擊

4月25日，總部位于瑞士的專用汽車制造商Aebi Schmidt向客戶和業(yè)務(wù)合作伙伴通報說，由于網(wǎng)絡(luò)攻擊，其部分業(yè)務(wù)可能會中斷。

Aebi Sschmidt是歐洲最大的制造企業(yè)之一，主要業(yè)務(wù)是為建造機場和制造公路養(yǎng)護車輛。據(jù)知情人士稱，公司在網(wǎng)絡(luò)安全事件發(fā)生后中斷了運營。該公司整個國際網(wǎng)絡(luò)的系統(tǒng)都崩潰了，其中受到破壞最嚴(yán)重的是瑞士總部。此外，公司的電子郵件服務(wù)器也受到了嚴(yán)重影響。

事件曝光幾天后，該公司一名發(fā)言人通過社交媒體發(fā)布了一條消息，稱“部分系統(tǒng)因安全事故而中斷”，主要問題是服務(wù)器企業(yè)郵件發(fā)生故障。消息還證實了其他系統(tǒng)受到了一些損害。但發(fā)言人沒有闡述細節(jié)，只稱專家正在努力恢復(fù)公司網(wǎng)絡(luò)環(huán)境，這可能需要較長的時間。

盡管該公司尚未公開承認(rèn)遭遇勒索軟件攻擊，但該公司一些員工已證實了這一點。此外，知情人士還提到，該公司的許多系統(tǒng)仍然無法運行。此次攻擊的相關(guān)細節(jié)仍未公布，該網(wǎng)絡(luò)攻擊事件將對Aebi Sschmidt造成多少財務(wù)損失仍不得而知。

2019年6月

>>美國飛機零部件供應(yīng)商ASCO遭勒索軟件攻擊

6月7日，勒索軟件最先襲擊了ASCO比利時公司的Zaventem工廠，由于被勒索軟件感染導(dǎo)致IT系統(tǒng)癱瘓、工廠無法運營，該公司目前已有1000名工人休假。另外，ASCO也關(guān)閉了德國、加拿大和美國的工廠，位于法國和巴西的非生產(chǎn)辦事處未受影響。

ASCO隸屬于世界500強之一的美國艾默生集團，是世界上最重要的飛機零部件設(shè)計供應(yīng)商之一。該公司的一些客戶包括航空運輸和軍事領(lǐng)域的大腕，如空中客車公司，波音公司，龐巴迪公司和洛克希德馬丁公司。ASCO制造的零件用于F-35戰(zhàn)斗機，空中客車A400M軍用飛機，空中客車和波音商用客機以及阿麗亞娜太空發(fā)射火箭等。

目前還不清楚ASCO是否已支付贖金以恢復(fù)其系統(tǒng)的訪問權(quán)限，從備份中恢復(fù)，或從頭開始購買新系統(tǒng)和重建其計算機網(wǎng)絡(luò)。

>>德國寶馬公司被黑客組織滲透事件

據(jù)外媒報道，有著國家級背景的黑客組織滲透進入寶馬公司的計算機網(wǎng)絡(luò)。針對寶馬汽車公司的攻擊始于2019年春，6月份時，寶馬公司將有關(guān)計算機進行了脫網(wǎng)，并正式對外公布。

在近期的一次采訪中，寶馬公司相關(guān)負(fù)責(zé)人表示：

“我們已經(jīng)對結(jié)構(gòu)和流程進行了進一步防范，可以最大程度減少未經(jīng)授權(quán)的外部人士訪問我們系統(tǒng)的風(fēng)險，同時，在發(fā)生某些事件時，我們能快速進行檢測、重建和恢復(fù)。”

寶馬公司在發(fā)現(xiàn)入侵行為時，并沒有立刻采取強硬措施，而是決定嵌入其植入系統(tǒng)的一個名為“ Cobalt Strike”的工具，這個工具可以方便地實現(xiàn)遠程投屏和控制計算機。

寶馬公司發(fā)現(xiàn)，該黑客組織應(yīng)是從BR Recherche攻擊了計算機。其活躍的目的可能是收集更多信息，例如各地汽車銷量的報告。

據(jù)專家分析，攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”（Ocean Lotus）。繼關(guān)鍵基礎(chǔ)設(shè)施之后，汽車工業(yè)也成為國家級APT組織的重點攻擊目標(biāo)。

作為“海蓮花”此次行為的一部分，韓國汽車制造商現(xiàn)代汽車的網(wǎng)絡(luò)也遭到了攻擊。目前沒有有關(guān)此特定事件的詳細信息，現(xiàn)代公司也拒絕提供任何評論。

圖表 11 安全專家的分析

>>美國被披露長期監(jiān)控俄羅斯電力系統(tǒng)

6月15日，《紐約時報》援引美國現(xiàn)任和前任政府官員的話稱，美國正在加大對俄羅斯電網(wǎng)的網(wǎng)絡(luò)攻擊，“至少從2012年開始，美國已將偵查探測器置入俄羅斯電網(wǎng)的控制系統(tǒng)。”

圖表 12 紐約時報報道截圖

《紐約時報》稱，美國此前從未嘗試在俄羅斯電網(wǎng)內(nèi)部植入惡意程序。此次攻擊可視為一次警告，也在告訴世人，如果美俄之間產(chǎn)生嚴(yán)重沖突，那么美方將會采取網(wǎng)絡(luò)攻擊。

報道稱，兩名白宮高官表示，美國總統(tǒng)特朗普本人尚未收到此次行動的任何細節(jié)匯報。五角大樓和美國情報部門官員稱，他們非常猶豫是否要將對俄采取行動的細節(jié)告訴特朗普，因為他們擔(dān)心特朗普的反應(yīng)，他可能會推翻行動，或轉(zhuǎn)而與外交人員商議此事。

過去三個月內(nèi)，《紐約時報》采訪了一批白宮現(xiàn)任和前任高官，他們紛紛表示美國將計算機代碼植入俄羅斯電網(wǎng)和其他目標(biāo)可以視作美國對俄采取更具攻擊性的戰(zhàn)略。

據(jù)報道，美國國會去年通過軍事授權(quán)法案，此次侵入俄羅斯電網(wǎng)似乎正是在新的法律程序下開展的。根據(jù)新法，美國防長可以在沒有總統(tǒng)特別批準(zhǔn)的前提下授權(quán)開展網(wǎng)絡(luò)空間“秘密軍事行動”。目前，特朗普政府不愿評論此次行動是否屬于新法規(guī)定范疇。不過美國官員表示，美軍偵查俄羅斯電網(wǎng)至少可以追溯到2012年。

美國國家安全委員會官員拒絕評論此事。

>>阿根廷大規(guī)模停電事件

6月16日早7點左右，阿根廷發(fā)生大規(guī)模停電，首都布宜諾斯艾利斯的交通信號燈停止運作，地鐵、城際鐵路、公交車等公共交通全部停運，鄰國烏拉圭、巴西、智利和巴拉圭部分地區(qū)的電力也中斷。

阿根廷能源部長洛佩特吉在推特上說：“沿海輸電系統(tǒng)早上發(fā)生故障并導(dǎo)致全國停電。目前我們無法確定到底出了什么問題。這是史無前例的事件，我們一定會徹查到底。”他表示，“雖然網(wǎng)絡(luò)攻擊不是主要假設(shè)，但不能排除這個可能性。”

16日晚，阿根廷能源部的聲明稱：“根據(jù)截止20時15分的數(shù)據(jù)，已恢復(fù)總需求量的98%。”從事該國電力分配的兩家公司Edesur和Edenor也發(fā)布消息稱，已恢復(fù)了為全部用戶提供服務(wù)。此外，烏拉圭國家電力公司發(fā)布消息稱，“已恢復(fù)早上發(fā)生故障期間中斷的98.5%服務(wù)。不過，恢復(fù)工作將持續(xù)至凌晨。“

能源部長Lopetegui表示對事件原因“不敢提出任何假設(shè)”，因為他尚未掌握所有必要信息。Lopetegui表示，這個“非同尋常”的事故本不該發(fā)生，“從簡單故障發(fā)生的那一刻起，到整個國家的電網(wǎng)在沒有人為干預(yù)的情況下完全斷電，只有不到一秒鐘的時間，而本該隔離的故障部分卻沒有自動切斷。這在阿根廷歷史上從未發(fā)生過。現(xiàn)在的問題是要搞明白為什么一個明明有能力實現(xiàn)部分隔離的系統(tǒng)會出現(xiàn)失靈？”

事故原因有待查明，阿根廷政府表示對周日停電造成的經(jīng)濟損失目前仍無法估計。

2019年7月

>>美國紐約停電事件

當(dāng)?shù)貢r間7月13日晚，紐約曼哈頓發(fā)生大規(guī)模停電，包括中心地帶的時代廣場、地鐵站、電影院、百貨公司等均陷入一片漆黑。據(jù)悉，此次停電造成大約4.2萬名居民斷電，還有多人被困電梯。停電發(fā)生在晚上7點前，當(dāng)時氣溫大約30攝氏度。紐約市長白思豪在推特上表示，紐約應(yīng)急管理辦公室正在同紐約市警察局及紐約市消防局等方面通力合作，應(yīng)對此次停電事故。7月13日下午6點45分左右一直到午夜前，從紐約時報廣場到百老匯的近40個街區(qū)里，千萬人受到停電影響。

圖表 13 紐約曼哈頓停電場景

據(jù)美國?？怂剐侣剤蟮?，美國最大的私人能源公司之一，聯(lián)合愛迪生在7月14日發(fā)表聲明稱，此次大規(guī)模停電與一次“重大電力傳輸”有關(guān)。

聯(lián)合愛迪生公司總裁蒂姆·考利（Tim Cawley）表示，停電與該公司電網(wǎng)的需求量無關(guān)，并補充稱，隨著氣溫升高，該公司已做好準(zhǔn)備應(yīng)對夏季用電高峰。

聯(lián)合愛迪生公司稱將盡力調(diào)查此事，以確定事故根本原因所在。該公司發(fā)布的新聞稿內(nèi)表示，“在接下來的幾天或幾周內(nèi)，我們的工程師和相關(guān)人員將仔細檢查與此次事件有關(guān)的設(shè)備，并進行相應(yīng)的數(shù)據(jù)分析，成果將會與公眾分享。”

當(dāng)?shù)貢r間7月15日，紐約愛迪生聯(lián)合公司官方回復(fù)：13日晚的紐約市的大面積停電是變電站繼電保護系統(tǒng)失靈引起的。

巧合的是，美國媒體報道說，7月13日正好是紐約1977年大停電42周年紀(jì)念日。

另外有美方報導(dǎo)稱：伊朗革命衛(wèi)隊信息戰(zhàn)部隊成功的突破了美國信息戰(zhàn)部隊的圍堵，闖入了紐約市三十多個變電站的控制中心，并對控制中心進行信息站破壞，導(dǎo)致了紐約全城大約4個小時的停電。

美國軍方也有人士透露，革命衛(wèi)隊的信息戰(zhàn)部隊設(shè)法滲透，甚至可以遠程操控美國的變電站控制系統(tǒng)。在大規(guī)模停電發(fā)生前，其中一個變電站控制中心的操作人員發(fā)現(xiàn)顯示器上的光標(biāo)出現(xiàn)了抖動現(xiàn)象，而當(dāng)時他并沒有操縱鼠標(biāo)，當(dāng)他試圖控制光標(biāo)時已經(jīng)晚了，鼠標(biāo)已經(jīng)不受控，隨即點擊了總開關(guān)，自己拉黑電網(wǎng)。

美軍信息站專家Robert Lee表示：“這是一次蓄謀已久并深思熟慮的高手作案。首先，伊朗的“網(wǎng)絡(luò)軍團”們將引導(dǎo)病毒引入美國變電站的計算機內(nèi)。為此，他們將病毒軟件隱藏在電子郵件中，只要美國電站操作員打開時就會自動啟動。“

>>烏克蘭某核電站發(fā)現(xiàn)了挖礦設(shè)備

7月10日，在南烏克蘭核電廠SE NAE Energoatom的中央控制面板行政大樓104號辦公室被進行了授權(quán)搜查，發(fā)現(xiàn)并沒收了計算機設(shè)備和部件。被沒收的設(shè)備包括六臺Radeon RX 470 GPU視頻卡，一塊主板，電源和延長線，一臺USB和硬盤，以及安裝在發(fā)電廠的冷卻裝置。

同一天，在該核電廠的另一個地方的突擊檢查中發(fā)現(xiàn)了更多的數(shù)字貨幣采礦設(shè)備。該單位沒收了16個視頻卡，一個系統(tǒng)單元，其中包括軍用單元的庫存號，七個硬盤，兩個固態(tài)硬盤，一個USB閃存盤和一個路由器。

這些計算機設(shè)備并未在核電廠網(wǎng)絡(luò)內(nèi)獲得授權(quán)，組成了一個可以訪問互聯(lián)網(wǎng)的單獨的局域網(wǎng)，并用于接收加密貨幣。此外，SBU員工在SUE NPP的其他場所發(fā)現(xiàn)并沒收了CTC聯(lián)合媒體轉(zhuǎn)換器，光纖和網(wǎng)絡(luò)電纜，理論上這些電纜都不應(yīng)該出現(xiàn)在這些場所內(nèi)。

該電廠由國有企業(yè)Energoatom運營，注冊為國家機密，這意味著其場地內(nèi)不允許使用外部計算設(shè)備。與互聯(lián)網(wǎng)進行外聯(lián)挖礦，可能導(dǎo)致破壞了核設(shè)施的安全，并最終泄露核電站物理保護系統(tǒng)的機密信息。

2019年8月21日，烏克蘭安全局(SBU)因此事發(fā)起逮捕行動，此次事故被列為國家機密泄露事故。據(jù)當(dāng)?shù)孛襟w報道，由于有人懷疑安全發(fā)電廠數(shù)據(jù)泄漏，當(dāng)局已啟動刑事訴訟程序。

>>委內(nèi)瑞拉再次大范圍停電事件

當(dāng)?shù)貢r間7月22日，委內(nèi)瑞拉又一次遭遇大范圍停電，據(jù)路透社報道，委內(nèi)瑞拉的23個州中有一半以上受到了停電影響。

停電發(fā)生約1小時后，委新聞和通信部長羅德里格斯在委內(nèi)瑞拉國家電視臺發(fā)表講話時表示，初步調(diào)查結(jié)果顯示，造成本次大規(guī)模停電的原因是委供電系統(tǒng)中最主要的古里水電站遭到電磁攻擊。委內(nèi)瑞拉電力供應(yīng)逾6成來自水力發(fā)電，而絕大多數(shù)電量由古里水電站提供。

圖表 14 委內(nèi)瑞拉停電區(qū)域

>>南非電力公司City Power遭勒索軟件攻擊

7月25號，南非約翰內(nèi)斯堡City Power 電力公司遭勒索軟件攻擊，導(dǎo)致一些居民區(qū)的電力中斷。由 @CityPowerJhb 官方 Twitter 賬號公布的信息可知，這家企業(yè)負(fù)責(zé)為當(dāng)?shù)鼐用裉峁╊A(yù)付費電力供應(yīng)，但惡意軟件加密了該公司的數(shù)據(jù)庫、內(nèi)部網(wǎng)絡(luò)、Web Apps、以及官方網(wǎng)站。

該公司數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用程序等，遭勒索軟件加密而無法運作。這也導(dǎo)致客戶無法透過網(wǎng)站買電、賣電、上傳發(fā)票及存取公司網(wǎng)站。雖然電廠緊急調(diào)派人力，但雪上加霜的是，電廠的派工維修系統(tǒng)也無法運作，讓停電修復(fù)的作業(yè)受到影響，造成用戶抱怨電廠沒有備援機組，而不能在這段期間取代供電，斷電時間長達12小時。

圖表 15 CityPowerJhb官方Twitter賬號公布的信息

2019年8月

>>我國部分醫(yī)療電力系統(tǒng)遭勒索軟件攻擊

騰訊安全御見威脅情報中心通過蜜罐系統(tǒng)監(jiān)測到Ouroboros勒索病毒在國內(nèi)有部分傳播，監(jiān)測數(shù)據(jù)表明，已有湖北、山東等地的醫(yī)療、電力系統(tǒng)的電腦遭遇該勒索病毒攻擊。經(jīng)分析發(fā)現(xiàn)，該病毒的破壞僅在部分有限的情況可解密恢復(fù)，但在病毒按預(yù)期運行，基礎(chǔ)設(shè)施完善情況下，暫無法解密。

Ouroboros勒索病毒首次出現(xiàn)于2019年8月中旬，目前發(fā)現(xiàn)其主要通過垃圾郵件渠道傳播，由于其PDB路徑中包含Ouroboros故因此得名，該病毒加密文件后會添加 .Lazarus擴展后綴。

2019年9月

>>印度核電公司遭受朝鮮黑客攻擊

新聞社IANS  9月初的報道稱，Kudankulam核電站的兩個反應(yīng)堆之一已中止運行，惡意軟件Dtrack的變體感染了核電站的管理網(wǎng)絡(luò)，可能包括竊取設(shè)施的鍵盤記錄、檢索瀏覽器歷史記錄，以及列出正在運行的進程等，并不確定是否應(yīng)能想到用于控制核反應(yīng)堆的關(guān)鍵內(nèi)網(wǎng)。

該核電站主要由俄羅斯設(shè)計和提供反應(yīng)堆機組，為印度南部電網(wǎng)提供電力。這座核電廠已成為印俄最大的合作項目之一。

圖表 16 印度庫丹庫拉姆核電站

Pukhraj Singh是一名印度的威脅情報分析師。據(jù)他透露，9月4日以前，第三方機構(gòu)發(fā)現(xiàn)針對印度核電廠的網(wǎng)絡(luò)攻擊活動，并告知了他，于9月4日通報了英國NCSC機構(gòu)，并在9月7日對外提起了此事件

圖表 17 Pukhraj Singh披露印度核電站事故

10月28日，某Twitter用戶披露了一個名為DTrack的病毒樣本，并且指出其內(nèi)嵌了疑似與印度核電廠相關(guān)的用戶名KKNPP，隨后引發(fā)熱議。

10月29日，各大新聞媒體公開披露該事件，并且印度安全人員對歷史情況進行一些解釋和說明，并且披露攻擊者已經(jīng)獲取核電廠內(nèi)部域控級別的訪問權(quán)限。

最初，核電站方面否認(rèn)他們遭受了任何惡意軟件感染，發(fā)表聲明將這些推文描述為“虛假信息”。

10月30日，這一被官方稱之為“虛假消息”的事件卻被自己推翻。他們在另一份聲明中承認(rèn)核電站確實感染了黑客組織創(chuàng)建的惡意軟件，該軟件由黑客組織Lazarus Group開發(fā)，屬于Dtrack后門木馬的變體。

但是，核電站方面也強調(diào)，朝鮮惡意軟件僅感染了其管理網(wǎng)絡(luò)，但未到達其關(guān)鍵的內(nèi)部網(wǎng)絡(luò)，這些內(nèi)部網(wǎng)絡(luò)用于控制發(fā)電廠的核反應(yīng)堆。言外之意，朝鮮攻擊并非造成核反應(yīng)堆“停工”的原因。

韓國Issue Makers Lab的研究人員說，攻擊者為來自朝鮮的Kimsuky組織，并透露稱，攻擊印度核能部門的一名黑客正在使用僅在朝鮮生產(chǎn)和使用的朝鮮自有品牌的計算機。一名黑客使用的IP來自朝鮮的平壤。而朝鮮黑客知道印度工廠的IP網(wǎng)絡(luò)。他們滲透到了工廠內(nèi)部，但沒有發(fā)送破壞性代碼。

Issue Maker Lab發(fā)現(xiàn)，黑客使用的計算機是在朝鮮生產(chǎn)且僅在朝鮮使用的型號。這幫助他們獲得了機器的MAC地址以及IP地址的詳細信息。兩者都帶有朝鮮簽名。他們的調(diào)查還發(fā)現(xiàn)，惡意軟件代碼中使用了朝鮮語。

美國《原子科學(xué)家公報》日前報道，雖然庫丹庫拉姆核電站反應(yīng)堆運行沒有受到影響，但這一事件再次發(fā)出警告，人類社會兩個最大的安全風(fēng)險，即網(wǎng)絡(luò)攻擊與核威懾，正在發(fā)生危險的“碰撞”，其嚴(yán)重后果，完全可能演變?yōu)闊o法控制的人禍。

>>英國大范圍停電事件

路透社報道，9月9日晚高峰，英國遭遇大范圍停電，地鐵停運、機場癱瘓、交通信號燈熄滅，一些醫(yī)院甚至備用發(fā)電機熄火。按照英國交通警察的說法，這次停電及其造成的影響“史無前例”。

英國英格蘭、威爾士等地區(qū)遭遇停電，首都倫敦多個區(qū)域未能幸免。雖然停電時長最多1個小時，但是停電造成的“混亂狀況”預(yù)期會持續(xù)一整天。

停電恰逢周五晚，英國媒體說“這是一周中最繁忙的時段之一”，大量民眾剛剛結(jié)束一周的工作，搭乘地鐵、城際列車或飛機回家度周末。

英國這次停電規(guī)模較大，暫不清楚總共多少民眾受影響。西部電力公司估算，這家電企的大約50萬名用戶受停電影響。北部電力公司說，這家電企的大約11萬名用戶遭遇停電，東北部城市紐卡斯?fàn)柕臋C場和地鐵運行受影響。

英國國家電力公司披露，當(dāng)天停電與兩臺發(fā)電機出現(xiàn)故障相關(guān)，故障已經(jīng)排除。

>>伊朗石油和金融設(shè)施遭受大范圍攻擊

當(dāng)?shù)貢r間9月22日晚，伊朗遭遇了一次大規(guī)模襲擊，整個伊朗的網(wǎng)絡(luò)系統(tǒng)遭遇了不明來源的大規(guī)模攻擊，其中重點攻擊目標(biāo)在于伊朗的石油和金融設(shè)施，對此毫無準(zhǔn)備的伊朗，受到了慘重?fù)p失。在短時間之內(nèi)，其金融和石油設(shè)施迅速癱瘓，一切正常交易都無法進行下去。好在德黑蘭方面及時向俄羅斯請求援助，俄羅斯派遣了大量網(wǎng)絡(luò)戰(zhàn)專家遠程指揮伊朗網(wǎng)絡(luò)安全部門反擊，才度過了這一劫。

根據(jù)伊朗高層不愿透露姓名的官員表示，目前俄羅斯已經(jīng)確定攻擊來源正是美國中央情報局。中情局希望用這種手段，讓伊朗暴露出自己的弱點，最終達到使得伊朗方面屈膝投降的目的。

近日沙特油田被炸，美國指責(zé)伊朗在背后搗鬼，揚言伊朗要為其負(fù)責(zé)。就沙特油田事件，美伊關(guān)系再度惡化，所以美國在幕后支持這次網(wǎng)絡(luò)攻擊行動的可能性極大。

>>德國汽車零部件制造商境外工廠遭惡意軟件攻擊

9月25號，總部位于德國的汽車零部件和國防解決方案提供商Rheinmetall宣布，由于受到惡意軟件攻擊，其在美國，巴西和墨西哥的汽車工廠的生產(chǎn)受到了干擾。

該攻擊于9月24日晚上開始，攻擊涉及一個未知的惡意軟件。該公司表示，該事件導(dǎo)致該惡意軟件進入IT系統(tǒng)的工廠受到“重大破壞”。

該公司認(rèn)為，從攻擊中恢復(fù)需要花費兩到四周的時間，并且估計從第二次攻擊開始，該事件將導(dǎo)致每周損失300萬歐元（330萬美元）至400萬歐元（440萬美元）。該公司已向客戶保證，它將能夠在短期內(nèi)交付訂單。

攻擊主要針對美洲（美國，墨西哥，巴西）的系統(tǒng)，而僅針對汽車系統(tǒng)。該地區(qū)以外和國防領(lǐng)域的其他系統(tǒng)目前都沒有受到影響。

2019年10月

>>伊朗阿巴丹煉油廠起火

10月20日，國際知名刊物作者，英國廣播公司（BBC）通訊員Babak Taghvaee在Twitter上附帶視頻發(fā)布伊朗阿巴丹煉油廠起火消息，并稱火災(zāi)是由確認(rèn)的網(wǎng)絡(luò)攻擊所為。

阿巴丹（Abadan）煉油廠建于1912年，是伊朗同類煉油廠中的最大的一家，也曾經(jīng)是世界上最大的煉油廠，并且目前和中方企業(yè)存在合作關(guān)系。

圖表 18 Babak Taghvaee發(fā)布的消息和視頻

很巧的是，就在前幾日的10月16日，路透社援引美國兩名官員話稱“美在對伊朗發(fā)起秘密網(wǎng)絡(luò)攻擊行動，以還擊9月14日沙特石油被襲之恨”。

圖表 19 路透社發(fā)布的美國官員對伊朗發(fā)起網(wǎng)絡(luò)攻擊的報道

16日的國防會議上，美國軍方向特朗普列出多項打擊伊朗的選項，包含攻擊位于伊朗阿巴丹的全球最大煉油廠之一，又或位于哈爾克島的伊朗最大石油出口設(shè)施，可重創(chuàng)伊朗的石油生產(chǎn)及出口能力。

一向忠實支持特朗普政策的共和黨參議員格雷厄姆，形容襲擊沙特石油設(shè)施屬“戰(zhàn)爭行動”，美國需果斷回應(yīng)，包含考慮攻擊伊朗煉油廠。然而，多名共和黨參議員包含參院外交委員會主席里施，則敦促政府避免倉促決定。可見，伊朗阿巴丹此前就被列為攻擊目標(biāo)。

2019年11月

>>墨西哥國有石油公司Pemex遭勒索軟件攻擊

11月10日，墨西哥國有石油公司Pemex遭受到勒索軟件攻擊，被索要565 個比特幣，約490萬美元的贖金。不過Pemex表示，只有不到5%的電腦受到了影響。不過根據(jù)內(nèi)部備忘錄的說法，要求所有員工切勿打開電腦，在本周晚些時候再重新開機，但拒絕按攻擊者的要求在48小時內(nèi)支付贖金。

在隨后的推特聲明中，Pemex表示他們的運作一切正常，燃料生產(chǎn)、供應(yīng)和庫存沒有受到影響。

最初有報道稱，Pemex受到了Ryuk勒索軟件的影響，但泄露出的贖金信息和Tor付款網(wǎng)站都證實這是DoppelPaymer勒索軟件，屬于BitPaymer勒索軟件的變種。

在安全研究人員Pollo分享的贖金信息截圖中，我們可以清楚地識別出DoppelPaymer，這也和BitPaymer的贖金信息非常相似。

圖表 20 Pemex收到的勒索信截圖

2019年12月

>>英國核電站遭受攻擊

12月2號，電訊報和都市晨報報道，一份周末披露的報告稱英國一家核電廠遭到了網(wǎng)絡(luò)攻擊，目前仍然沒有恢復(fù)正常運營。

圖表 21 英國核電廠遭網(wǎng)絡(luò)攻擊

事件原委由telegraph公司提供，該媒體稱：GCHQ的子公司國家網(wǎng)絡(luò)安全中心（NCSC）一直在秘密地向英國一家核電公司提供援助，因為該公司在遭受網(wǎng)絡(luò)攻擊后一直難以恢復(fù)。

核退役局（NDA）使用信息自由法獲得的一份報告提到，核電公司的相關(guān)工作人員意識到核發(fā)電廠的一項重要業(yè)務(wù)已受到網(wǎng)絡(luò)攻擊，造成負(fù)面影響，目前必須依靠NCSC的專業(yè)知識來應(yīng)對，幫助業(yè)務(wù)恢復(fù)。該文件來自2019年3月13日的董事會委員會會議，這是首次成功證明對英國一家核公司進行網(wǎng)絡(luò)攻擊的證據(jù)。

目前尚不清楚網(wǎng)絡(luò)攻擊造成了什么損害或網(wǎng)絡(luò)攻擊是否使公共安全受到威脅。NCSC拒絕列出參與攻擊的公司或提供有關(guān)攻擊的詳細信息。而負(fù)責(zé)清理舊核電廠和乏燃料的NDA說，提供詳細信息是“不適當(dāng)?shù)?rdquo;，理由是“該事件與NDA集團以外的組織有關(guān)”。

這些披露可能會促使人們猜測英國核電站的安全漏洞，無法提供詳細信息引起了人們對英國核電部門透明度和安全性的擔(dān)憂。獨立核研究顧問戴維·洛瑞（David Lowry）表示，該部門將對透露的細節(jié)保持謹(jǐn)慎。他說，他們非常清楚，他們只需要發(fā)生一次安全事件，就會破壞整個系統(tǒng)的安全聲譽。……僅出于聲譽原因，他們承受不了失誤的負(fù)擔(dān)。因此不會過多披露細節(jié)。但從描述來看，此次網(wǎng)絡(luò)攻擊很有可能已經(jīng)獲取到極高的系統(tǒng)權(quán)限，否則僅靠隔離受害主機從而批量重裝系統(tǒng)的方式即可進行業(yè)務(wù)恢復(fù)。

其中，原文稱關(guān)于攻擊目標(biāo)的猜測可能集中在法國電力公司（EDF）上，法國電力公司在英國主導(dǎo)著核能發(fā)電。而該公司卻拒絕在本周末就此事發(fā)表評論。

>>美國RavnAir航空公司遭受網(wǎng)絡(luò)攻擊

12月22日，據(jù)報道，黑客發(fā)起了一次針對Ravn Air航空公司的網(wǎng)絡(luò)攻擊，最終導(dǎo)致飛機維修等關(guān)鍵系統(tǒng)關(guān)閉，迫使Ravn Air航空公司取消了至少6個阿拉斯加的航班，影響了約260名乘客。

該航空公司在一份書面聲明中表示，因為網(wǎng)絡(luò)攻擊迫使其斷開了Dash 8的維護系統(tǒng)和備份，因此公司在中午之前取消了所有涉及Dash 8飛機的航班。該航空公司為阿拉斯加的100多個社區(qū)提供服務(wù)，其中許多社區(qū)無法通過公路到達。目前，Ravn Air航空公司正在與美國聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全專家合作，以恢復(fù)系統(tǒng)并調(diào)查網(wǎng)絡(luò)攻擊。

23號，公司對外宣布：我們將盡快在Dash-8航班上按照正常的時間表運行，我們將嘗試在接下來的兩天內(nèi)增加航班數(shù)量，盡可能在其他航班上重新為受影響乘客安排座位。

>>中東遭伊朗惡意軟件ZeroCleare攻擊

12月20號，IBM的X-Force事件響應(yīng)和情報服務(wù)（IRIS）發(fā)布報告，披露了一種全新的破壞性數(shù)據(jù)清除惡意軟件 ZeroCleare，該惡意軟件以最大限度刪除感染設(shè)備數(shù)據(jù)為目標(biāo)。

IBM雖沒有透露此次遭受攻擊的具體公司，但可以確認(rèn)ZeroCleare瞄準(zhǔn)的是中東的能源和工業(yè)部門，初步估算已有1400臺設(shè)備遭感染。ZeroCleare用來執(zhí)行破壞性攻擊，主要是擦除主引導(dǎo)記錄（MBR），并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū)，說白了就是大肆刪數(shù)據(jù)。

IBM報告也證實，ZeroCleare和破壞性惡意軟件Shamoon同宗，都是出自伊朗資助的頂級黑客組織之手。不同的是，Shamoon 來自APT33組織，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）組織協(xié)作開發(fā)。

圖表22 IBM發(fā)布的ZeroCleare惡意軟件報告截圖

伊朗黑客組織APT34（Oilrig）至少從2014年起就瞄準(zhǔn)中東和國際受害者，目標(biāo)也多集中在金融、政府、能源、化工和電信等關(guān)乎國家安全的重要領(lǐng)域?？梢哉f，APT34的整體攻擊動向，與伊朗國家利益和作戰(zhàn)時間安排保持高度一致。

通過各種網(wǎng)絡(luò)手段，幫助政府達成政治、經(jīng)濟、軍事目的，是APT34一類國家級黑客組織行動的核心。今年早期，APT34（Oilrig）就曾偽裝成劍橋大學(xué)相關(guān)人員，使用LinkedIn傳送惡意文件，進行網(wǎng)絡(luò)釣魚攻擊，預(yù)謀竊取重要信息。

從披露的攻擊進程來看，執(zhí)行ZeroCleare惡意程序前，黑客會先通過暴力攻擊，訪問安全性較弱的公司網(wǎng)絡(luò)帳戶，而當(dāng)拿到公司服務(wù)器帳戶的訪問權(quán)限后，就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨后，攻擊者便會在入侵設(shè)備商，開啟橫向擴散模式，部署ZeroCleare數(shù)據(jù)摧毀惡意軟件，上演破壞性的數(shù)據(jù)擦除攻擊。至于攻擊細節(jié)上，一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。

EldoS RawDisk是一個主要用于與文件、磁盤和分區(qū)進行交互的合法工具包。為了順利運行ZeroCleare，攻擊者會先通過名為soy.exe的中間文件，加載易受攻擊簽名驅(qū)動程序VBoxDrv，強制（DSE）接受并運行驅(qū)動程序。

成功拿到權(quán)限后，ZeroCleare就會通過濫用合法工具包EldoS RawDisk的方式，擦除MBR并損壞大量網(wǎng)絡(luò)設(shè)備上的磁盤分區(qū)，達到破壞性攻擊的目的。

值得一提的是，為了獲得設(shè)備核心的訪問權(quán)限，ZeroCleare還會使用易受攻擊的驅(qū)動程序和惡意的PowerShell / Batch腳本，繞過Windows控件。

>>韓國數(shù)百家工業(yè)企業(yè)文件被竊取

12月18號，美國物聯(lián)網(wǎng)及工控系統(tǒng)安全公司CyberX威脅情報小組公布了一項針對韓國工業(yè)企業(yè)的高級持續(xù)性間諜活動。據(jù)介紹，攻擊者會使用帶有惡意附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件，偽裝成PDF文件發(fā)動攻擊。成功入侵后，攻擊者會從瀏覽器和電子郵件客戶端中竊取登錄數(shù)據(jù)，還會搜尋各種類型的文檔和圖像。

值得注意是，一旦有關(guān)工業(yè)設(shè)備設(shè)計的專有信息、商業(yè)秘密、知識產(chǎn)權(quán)被竊取，輕則攻擊者會對攻擊目標(biāo)進行網(wǎng)絡(luò)偵察，發(fā)動勒索攻擊，或者將這些信息出售給競爭對手和尋求提高其競爭地位的國家；重則攻擊者可以憑借對IoT / ICS網(wǎng)絡(luò)的遠程RDP訪問權(quán)限，對該國重要且具有軍事意義的工廠布局了如指掌，并可在某關(guān)鍵時刻，直接對該國的工業(yè)企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施進行破壞性打擊。

另外，危機比我們想象的還要快。據(jù)統(tǒng)計，已有數(shù)百家韓國工業(yè)企業(yè)受到影響。其中，最大受害者為一家關(guān)鍵基礎(chǔ)設(shè)施設(shè)備的制造商，它專為化工廠，輸電、配電設(shè)施或可再生能源行業(yè)的公司提供產(chǎn)品。此外，鋼鐵制造商、化工廠建設(shè)公司、管道制造商、閥門制造商、工程公司等相關(guān)企業(yè)也確認(rèn)受到影響。

更糟糕的是，攻擊活動已波及全球。數(shù)據(jù)顯示，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)系統(tǒng)也不同程度受到影響。

該APT組織使用Separ惡意軟件新版本竊取敏感數(shù)據(jù)和文件，包括工程布局、有關(guān)工業(yè)設(shè)備設(shè)計的專有信息等。截至目前，已影響了至少200個系統(tǒng)，受害者約60％的企業(yè)為韓國工業(yè)企業(yè)。此外，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業(yè)企業(yè)也不同程度受到影響。

圖表 23 Separ惡意軟件影響范圍

總結(jié)和展望

整理完2019年的工控相關(guān)安全事件，心情頗為復(fù)雜。工控行業(yè)安全事故一旦發(fā)生，帶來的影響不可估量，不僅有巨大的經(jīng)濟損失，也帶來巨大的社會影響，直接影響到成千上萬人的日常生活。

總結(jié)2019年全球工控安全事件，可以得出下面幾個結(jié)論：

1、黑客組織的重點攻擊目標(biāo)是制造行業(yè)和能源行業(yè)，個人黑客較少針對工控行業(yè)發(fā)起攻擊。

2、制造行業(yè)，主要遭遇勒索軟件和信息竊取攻擊。勒索軟件導(dǎo)致生產(chǎn)線停工對工廠帶來巨大的經(jīng)濟壓力，惡意分子要求他們迅速付款以恢復(fù)運營，而且，停機、清理、合同支付和股價下跌之間的成本可能是巨大而無法估量的。另外制造行業(yè)的機密數(shù)據(jù)也具有極其重要的商業(yè)價值，是有組織的黑客的重點目標(biāo)。一些重要的大型制造廠商也可能遭遇國家級黑客組織的攻擊，這些攻擊不以勒索為目的，而是為了破壞生產(chǎn)，造成嚴(yán)重的經(jīng)濟損失。

3、能源行業(yè)（包括電力、石油等），主要遭遇破壞性攻擊。能源行業(yè)是社會正常運行的基礎(chǔ)，沒有電、沒有石油，現(xiàn)代社會無法正常運行。從早些年的“震網(wǎng)”事件，到今年這些核電站、水電等電力系統(tǒng)和煉油廠的安全事件，充分表明針對能源行業(yè)的攻擊事件正越來越多。

4、黑客組織的國家背景凸顯。低廉的攻擊代價和高危的攻擊結(jié)果，讓破壞性攻擊逐漸泛化，越來越多擁有國家支持背景的黑客，開始利用破壞性攻擊緊盯能源、制造、金融等關(guān)鍵性重要領(lǐng)域。

總體來看，工控安全行業(yè)還有很長的路要走，還有很大的市場要開拓，相應(yīng)也有很大的壓力要承擔(dān)，可謂是“任重而道遠”。針對工控行業(yè)的網(wǎng)絡(luò)攻擊和竊密，可以用很小的投入，換來極大的破壞力或收益，正被越來越多的黑客組織所重視，類似的安全事件今后還會越來越多。“沒有網(wǎng)絡(luò)安全就沒有國家安全”，工控安全更是直接關(guān)系到國際民生，關(guān)系到國家安全，責(zé)任重大。越來越多國家背景的黑客組織出現(xiàn)，網(wǎng)絡(luò)攻擊和竊密已經(jīng)逐漸成為某些國家和黑客組織的日常活動，這都為網(wǎng)絡(luò)安全防護帶來極大的困難。除了傳統(tǒng)的安全防護手段，工控安全防護工作必須轉(zhuǎn)變思路，以黑客的角度來思考問題，做安全防護。

我國各級網(wǎng)信部門、工廠企業(yè)、能源部門和金融部門等都應(yīng)以習(xí)總書記關(guān)于網(wǎng)絡(luò)強國的重要思想為指導(dǎo)，樹立正確的網(wǎng)絡(luò)安全觀，全面貫徹落實總體國家安全觀，強化關(guān)鍵信息基礎(chǔ)設(shè)施防護，加強網(wǎng)絡(luò)安全信息統(tǒng)籌機制、手段、平臺建設(shè)，不斷創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)使用機制，深入開展網(wǎng)絡(luò)安全知識技能普及工作，全方位筑牢國家網(wǎng)絡(luò)安全屏障、推進網(wǎng)絡(luò)強國建設(shè)。