中華工控網 > 工控新聞資訊 > 2019全球工控安全大事記
2019全球工控安全大事記

在繁忙的工作中不知不覺又迎來了新的一年,年末歲初,正是我們總結過去展望未來的時間。對于工控安全行業,2019年可以說是具有劃時代意義的一年。

5月1號,關鍵信息基礎設施安全保護條例被納入《國務院2019年立法工作計劃》,由網信辦、工業和信息化部、公安部負責起草。

12月1號,萬眾矚目的“等保2.0”正式開始實施,工業控制系統安全正式被納入等保2.0的評測范圍。

12月3號,國家標準《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)試點工作正式啟動。關鍵信息基礎設施網絡安全保護的主要內容包含公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,其中能源、交通、水利和很多公共服務都離不開工業控制系統。

除了這些政策法規,大家更關心更有興趣的是真實發生的安全事件或安全事故。安全行業和保險行業很相似,沒有事故發生時感覺不到它的存在和價值,只有血淋淋的事故才能改變或加深大家的認識和看法。2019年發生了很多重大的工控安全事件,這些事件也將改變或加深我們對于工控安全以及關鍵信息基礎設施網絡安全的認識和看法。

本文匯編了2019年互聯網上披露的工業控制相關的安全事件或安全事故(很多工控安全事故不在網上披露),這些材料主要從國內、國外的各種官方和非官方網站收集整理而來,雖然我們盡量參考多方資料進行校對,但是難免會有不準確的地方。很多黑客組織入侵攻擊的細節都需要長期的分析模擬才能反向推測還原當時真實的場景,所以今年發生的大部分事件還沒有最終的分析結果,目前只有各方面媒體、機構和專家的推測,甚至有些事件還不能確認為攻擊事件,大家僅作參考。

如果各位讀者發現錯誤或失真的地方,請不吝指正,如果發現侵犯了您的知識產權,請盡快聯系我們,我們將在第一時間響應并確認修改。

匯總分析

2019年,全球各地工控安全問題事件數量逐步上升,今年工控安全事件的報告數量達到329件。從2012年至今年的工控安全事件報告數量程逐年上升趨勢,如下圖所示:

 圖表 1 2012~2019 年全球工控安全事件報告數量(數據來源:中國產業信息)

工業控制的細分領域眾多,據調查近年來工控安全事件涉及超過15個行業,安全事件的行業分布如下圖所示:

圖表 2 工控安全事件所屬行業細分(數據來源:中國產業信息)

目前工控市場安全只覆蓋到了其中部分行業的部分企業,要實現全面防護還有許多路要走。

下面我們來具體看一些網上公開的工業信息安全事件。

2019年1月

>>>愛爾蘭都柏林電車系統遭黑客攻擊

1月3日,據據《愛爾蘭審查員報》報道,控制愛爾蘭首都都柏林電車系統的網站Luas,早晨遭黑客入侵后下線,黑客要求五天內支付贖金。

1月3號一大早,該網站的訪問者收到了黑客發來的信息,聲稱已從運營商Transdev Ireland竊取了數據,若不支付一枚比特幣(約3300歐元或3800美元)的贖金,這些數據將會在網上發布。

圖表 3 都柏林電廠運營網站收到的勒索信

在這封郵件中,黑客表示之前已就安全漏洞問題聯系過電車運營商,但運營商并未作出回應,他們對此感到不滿。黑客這次成功地吸引了Transdev的注意,這一點在今早發給乘客的官方推特上得到證實,該推特提醒乘客不要訪問受感染的網站。Luas網站已經離線,工程師們正在審查其安全性。

>>>法國亞創集團遭勒索軟件攻擊

1月24日,攻擊者利用LockerGoga勒索軟件對亞創集團進行了勒索攻擊。

1月28日,亞創集團發布聲明,稱技術專家正在對此次勒索事件進行取證跟進。由于此次勒索事件,亞創集團暫停了全球多項業務。

法國亞創集團成立于1982年,是一家提供創新和工程咨詢服務的全球性公司,業務遍布全球30多個國家,涉及汽車、通信、生命科學、航空航天、國防、能源、金融和鐵路等行業。

圖表 4 法國亞創集團發布被網絡攻擊的聲明

圖表 5 法國亞創集團收到的勒索信

2019年2月

>>印度國有天然氣公司數據泄露

2月10號,外媒報道,由于網絡安全措施不到位,印度國有天然氣公司Indane又一次暴露了數以百萬計的Aadhaar生物識別數據庫信息。問題出在Indane面向經銷商和渠道商的網站上,盡管該網站需要有效的用戶名和密碼驗證才能進行訪問,但部分內容已經被谷歌搜索引擎編入索引。如此一來,所有人都能夠繞過登陸頁面,直接獲得對經銷商數據庫的自有訪問權限。

據悉,這些數據是由一名安全研究人員發現的,但因害怕印度當局的報復,他要求媒體在報道中匿名。

圖表 6 印度一個安全研究人員的私信

圖表 7 印度國有天然氣公司泄露的數據截圖

>>日本光學產品制造商Hoya遭受網絡攻擊

據外媒報道,日本光學產品制造商Hoya公司稱,公司在2月底遭受了一次嚴重的網絡攻擊,100多臺電腦感染了病毒,導致Hoya公司的用戶ID和密碼被黑客竊取。黑客還在攻擊期間試圖挖掘加密貨幣,工廠生產線因此停止了三天。

Hoya公司是日本最大的公司之一,也是最大的光學產品生產商,它的年收入超過41億美元。

Hoya表示,網絡攻擊發生后,一臺控制網絡的計算機服務器首先停機,工人們無法使用軟件來管理訂單和生產,因此工業產出比正常水平下降了大約40%。隨后,病毒也開始在其他電腦上感染,但最終在開始加密貨幣挖掘操作之前被成功阻止。

據稱攻擊已經持續了三天,受影響的工廠都位于泰國,不過有關攻擊的詳細信息尚未公布。

2019年3月

>>挪威海德魯公司遭勒索軟件攻擊

3月19日,挪威海德魯(Norsk Hydro)公司舉行新聞發布會,稱3月18日午夜,公司遭到勒索軟件攻擊,致使主機死機,導致生產業務中斷。參會的NorCERT(挪威國家應急響應中心)代表稱此次攻擊事件是由一個名為LockerGoga的勒索軟件發起的,可能涉及到對海德魯公司的Active Directory系統的攻擊。

海德魯公司創建于1905年,主要經營石油、能源、輕金屬(鋁、鎂)、石化產品、水電及設備、工業用化學品等,是世界最大的綜合性鋁業集團之一。

盡管海德魯公司安全部門竭盡全力防止感染蔓延,但該惡意軟件最后造成公司40個國家/地區的170個不同站點,約22,000臺計算機被攻擊。公司在遭遇勒索軟件攻擊之后,被迫關閉了幾項金屬擠壓計劃。網絡攻擊事件影響了該公司多個業務區的運營,嚴重的勒索軟件攻擊導致其全球計算機網絡系統宕機,無法連接其鋁材擠壓解決方案業務的生產系統,結果致使數家工廠停工,造成了極其嚴重的運營挑戰和經濟損失。

公司發言人解釋稱,第一季度網絡攻擊的整體財務影響估計為4-4.5億挪威克朗,但其公司已經與知名保險公司建立了強大的網絡保險業務。

公司證實,此次攻擊是受到了LockerGoga勒索軟件的影響,該軟件能夠加密帶有以下擴展名的文件:doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。

圖表 8 挪威海德魯公司收到的勒索信

研究人員稱,LockerGoga似乎不具備像WannaCry或NotPetya等其他惡意軟件那樣的傳播能力。相反,LockerGoga會計算受感染系統的Wi-Fi或以太網網絡適配器的數量,然后嘗試通過命令行(netsh.exe interface set interface disable)禁用它們,以斷開系統與外部的連接。

Trend Micro研究人員表示,“LockerGoga在加密之后以及注銷當前帳戶之前運行此程序。這是一個值得注意的特征。LockerGoga通過更改帳戶的密碼將用戶排除在系統之外,因此其文件勒索反而顯得不那么重要。“

根據Unit 42的威脅情報副總裁Ryan Olson告訴Threatpost的信息,LockerGoga使用未記錄的Windows API調用進行通信,其中涉及WS2_32.dll,一個在Microsoft Windows中提供對網絡連接支持的dll文件。這意味著開發者對Microsoft Windows很熟悉,足以了解如何使用這些未記錄的API,開發人員可能正在構建一個大型的控制網絡,單純的勒索軟件中很少使用復雜的網絡功能。

思科威脅情報組織Talos的研究人員Liska表示,與其他復雜的勒索軟件不同,勒索通知中沒有支付贖金的說明,沒有比特幣或Monero錢包地址,但含有兩個電子郵件地址來聯系攻擊者。這些功能引發了更多關于黑客意圖的猜測,因為勒索軟件通常是最不先進的惡意軟件形式之一,它們是否受到經濟利益或其他因素的驅使?動機是否隨著時間而改變?為什么他們提供一個電子郵件地址而不是通過更常用的加密貨幣來要求支付?

Liska告訴Threatpost,目前還沒有找到攻擊的原因,還沒有人將這次攻擊歸咎于誰,他們的目標貌似不是贖金,像是在破壞國家安全,但目前沒有證據表明這一點。

>>委內瑞拉全國性停電事件

據法新社報道,3月7日下午4點50分,委內瑞拉首都加拉加斯在夜幕降臨之前陷入停電狀態。全市數千房屋停電停水,地鐵停止運行,電話服務和網絡接入服務無法使用。令人驚恐的是,相似的情況同樣發生在了委內瑞拉的其他城市,總統馬杜羅表示,這是拉丁美洲國家史上最嚴重的一場停電。

除了停水和各大公共設施及服務停止使用之外,委內瑞拉還關閉了學校、辦公室和商店,而更多的恐慌和混亂則發生在醫院里。據法新社報道援引一位病患家屬稱,停電發生后,加拉加斯市中心JM de Rios兒童醫院的備用發電機未能啟動。馬杜羅周六透露,有超過50%的醫院未能啟動備用發電機。

當地時間3月7日,委內瑞拉全國電力供應公司Corpoelec報告稱,由于該國最大的電力設施——古里水電大壩遭到“破壞”,委內瑞拉21個或23個州的停電情況。隨后,委內瑞拉進入全國搶修電力設施的狀態。

委內瑞拉總統馬杜羅在3月9日說,今天,我們已經恢復了該國70%的領土供電,但就在中午,敵對勢力又對我們其中一個電力設施發動了網絡攻擊。在此之前,該設施運行良好。由于這個原因,我們本來在9日下午三點左右應該取得的所有進展都被中斷了。馬杜羅指責美國對委內瑞拉發動了一場電力能源戰爭。

電力完整恢復幾乎花了一個星期的時間。

圖表 9 委內瑞拉停電場景

根據俄羅斯衛星通訊社3月26號消息,委內瑞拉新聞和通信部長豪爾赫羅德里格斯表示,該國電力系統再次遭到襲擊。

>>美國Hexion和Momentive公司遭勒索軟件攻擊

3月12日,Hexion和Momentive公司于遭到勒索軟件的襲擊,根據Momentive一位匿名員工的說法,該攻擊是在3月12日開始的,由于此次攻擊,大量關鍵數據都從系統中丟失,公司的Windows計算機出現了藍屏錯誤并且文件被加密。

Hexion和Momentive公司主要生產樹脂、有機硅和其他材料,由同一投資基金控制。

Momentive CEO發出的電子郵件中提到了由惡意軟件引起的“全球IT中斷”。根據電子郵件,該公司必須訂購數百臺新計算機來替換受感染的計算機。

Hexion發布了一份新聞稿,稱此攻擊為網絡安全事件,阻止了公司網絡中某些系統和數據的訪問。

根據Motherboard報道,該勒索軟件與之前對挪威海德魯公司的攻擊有許多相似之處,因此研究人員也將此次攻擊歸因于LockerGoga勒索軟件。

2019年4月

>>日本豐田汽車公司遭黑客入侵

北京時間4月1日晚間消息,據美國科技媒體ZDNet報道,豐田汽車今日公布了第二起數據泄露事件,這也是該公司在過去五周內承認的第二起網絡安全事件。

豐田汽車表示,黑客入侵了其IT系統,并訪問了幾家銷售子公司的數據。這些子公司包括豐田東京銷售控股公司、東京汽車、東京豐田、豐田東京卡羅拉、豐田東京銷售網絡、雷克薩斯Koishikawa Sales公司、Jamil Shoji(雷克薩斯Nerima)和豐田西東京卡羅拉。

公司表示,黑客訪問的服務器存儲了多達310萬名客戶的銷售信息。豐田汽車稱,目前正在調查此事,以確定黑客是否泄露了他們可以訪問的任何數據。

豐田汽車強調,客戶的財務細節并未存儲在被黑客攻擊的服務器上。至于黑客可能訪問了哪些類型的數據,豐田汽車并未披露。

豐田汽車發言人今日向媒體表示:“我們向所有使用豐田和雷克薩斯汽車的客戶表示歉意。我們認真對待這一問題,并將在經銷商和整個豐田集團中徹底實施信息安全措施。”

圖表 10 日本豐田越南分公司遭受入侵攻擊

>>德國化工制藥企業拜耳公司遭黑客入侵

4月初,據德國電視一臺的"每日新聞"(tagesschau.de)報道,拜耳公司(Bayer AG)向外證實,有黑客入侵了該公司的網絡系統。拜耳稱,公司的網絡安全中心在2018年初發現了一種名為"Winnti"的竊密病毒,并開始針對其實施防御措施,但無法溯源獲知黑客最早何時進入系統。德國媒體報道,此次出擊的是一個目標明確、十分專業的黑客小組。

德國網絡安全組織(DCSO)的技術負責人羅爾(Andreas Rohr)對德廣聯表示,一旦確認公司網絡系統受到Winnti惡意程序入侵,就清楚地表明,該企業已成為有針對性的網絡攻擊的目標。DCSO是包括拜耳在內的多家德國大型企業于2015年共同成立的,任務之一是調查網絡經濟間諜活動。羅爾補充說,Winnti小組的發展速度很快。

據拜耳稱,Winnti小組的黑客以企業內網(Intranet)與互聯網(Internet)的接點以及授權系統作為入侵點,作案方式非常專業。但拜耳稱,目前沒有跡象表明已發生了數據失竊。

在最早發現該惡意軟件時,該公司沒有馬上刪除它,而是選擇對軟件進行秘密監視,以嘗試確定其目的以及負責植入惡意代碼的人員。

到2019年3月底,該惡意軟件被徹底刪除,公司的網絡系統已經得到清理徹查,根據拜耳掌握的情況,入侵者尚未采取積極行動,盜取數據信息。

>>美國自來水公司Odintsovsky Vodokanal遭勒索軟件攻擊

4月15日,美國自來水公司Odintsovsky Vodokanal被勒索軟件攻擊。該惡意軟件對受感染設備和網絡共享上的數據都進行了加密,危及到公司的技術文檔,客戶數據以及帳單系統。

攻擊者的目標是讓公司付費以恢復其數據,但奧丁佐夫斯基沃多卡納爾拒絕支付贖金,并向卡巴斯基尋求幫助。在分析了加密的數據樣本和惡意軟件本身之后,卡巴斯基專家找到了一種方法來恢復所有信息,并在幾個小時內將解密軟件發送給了受害公司。

攻擊者通過Windows操作系統中內置的標準“遠程桌面協議”服務滲透到組織內的網絡。攻擊者能夠遠程破解該帳戶的密碼,并在系統上獲得授權。接下來,他們以手動模式在受感染計算機上執行了惡意軟件,然后惡意軟件開始對文件進行加密。

根據卡巴斯基的數據分析,這種加密惡意軟件的大多數受害者位于俄羅斯。

>>歐洲重型汽車制造企業Aebi Sschmidt遭勒索軟件攻擊

4月25日,總部位于瑞士的專用汽車制造商Aebi Schmidt向客戶和業務合作伙伴通報說,由于網絡攻擊,其部分業務可能會中斷。

Aebi Sschmidt是歐洲最大的制造企業之一,主要業務是為建造機場和制造公路養護車輛。據知情人士稱,公司在網絡安全事件發生后中斷了運營。該公司整個國際網絡的系統都崩潰了,其中受到破壞最嚴重的是瑞士總部。此外,公司的電子郵件服務器也受到了嚴重影響。

事件曝光幾天后,該公司一名發言人通過社交媒體發布了一條消息,稱“部分系統因安全事故而中斷”,主要問題是服務器企業郵件發生故障。消息還證實了其他系統受到了一些損害。但發言人沒有闡述細節,只稱專家正在努力恢復公司網絡環境,這可能需要較長的時間。

盡管該公司尚未公開承認遭遇勒索軟件攻擊,但該公司一些員工已證實了這一點。此外,知情人士還提到,該公司的許多系統仍然無法運行。此次攻擊的相關細節仍未公布,該網絡攻擊事件將對Aebi Sschmidt造成多少財務損失仍不得而知。

2019年6月

>>美國飛機零部件供應商ASCO遭勒索軟件攻擊

6月7日,勒索軟件最先襲擊了ASCO比利時公司的Zaventem工廠,由于被勒索軟件感染導致IT系統癱瘓、工廠無法運營,該公司目前已有1000名工人休假。另外,ASCO也關閉了德國、加拿大和美國的工廠,位于法國和巴西的非生產辦事處未受影響。

ASCO隸屬于世界500強之一的美國艾默生集團,是世界上最重要的飛機零部件設計供應商之一。該公司的一些客戶包括航空運輸和軍事領域的大腕,如空中客車公司,波音公司,龐巴迪公司和洛克希德馬丁公司。ASCO制造的零件用于F-35戰斗機,空中客車A400M軍用飛機,空中客車和波音商用客機以及阿麗亞娜太空發射火箭等。

目前還不清楚ASCO是否已支付贖金以恢復其系統的訪問權限,從備份中恢復,或從頭開始購買新系統和重建其計算機網絡。

>>德國寶馬公司被黑客組織滲透事件

據外媒報道,有著國家級背景的黑客組織滲透進入寶馬公司的計算機網絡。針對寶馬汽車公司的攻擊始于2019年春,6月份時,寶馬公司將有關計算機進行了脫網,并正式對外公布。

在近期的一次采訪中,寶馬公司相關負責人表示:

“我們已經對結構和流程進行了進一步防范,可以最大程度減少未經授權的外部人士訪問我們系統的風險,同時,在發生某些事件時,我們能快速進行檢測、重建和恢復。”

寶馬公司在發現入侵行為時,并沒有立刻采取強硬措施,而是決定嵌入其植入系統的一個名為“ Cobalt Strike”的工具,這個工具可以方便地實現遠程投屏和控制計算機。

寶馬公司發現,該黑客組織應是從BR Recherche攻擊了計算機。其活躍的目的可能是收集更多信息,例如各地汽車銷量的報告。

據專家分析,攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”(Ocean Lotus)。繼關鍵基礎設施之后,汽車工業也成為國家級APT組織的重點攻擊目標。

作為“海蓮花”此次行為的一部分,韓國汽車制造商現代汽車的網絡也遭到了攻擊。目前沒有有關此特定事件的詳細信息,現代公司也拒絕提供任何評論。

圖表 11 安全專家的分析

>>美國被披露長期監控俄羅斯電力系統

6月15日,《紐約時報》援引美國現任和前任政府官員的話稱,美國正在加大對俄羅斯電網的網絡攻擊,“至少從2012年開始,美國已將偵查探測器置入俄羅斯電網的控制系統。” 

圖表 12 紐約時報報道截圖

《紐約時報》稱,美國此前從未嘗試在俄羅斯電網內部植入惡意程序。此次攻擊可視為一次警告,也在告訴世人,如果美俄之間產生嚴重沖突,那么美方將會采取網絡攻擊。

報道稱,兩名白宮高官表示,美國總統特朗普本人尚未收到此次行動的任何細節匯報。五角大樓和美國情報部門官員稱,他們非常猶豫是否要將對俄采取行動的細節告訴特朗普,因為他們擔心特朗普的反應,他可能會推翻行動,或轉而與外交人員商議此事。

過去三個月內,《紐約時報》采訪了一批白宮現任和前任高官,他們紛紛表示美國將計算機代碼植入俄羅斯電網和其他目標可以視作美國對俄采取更具攻擊性的戰略。

據報道,美國國會去年通過軍事授權法案,此次侵入俄羅斯電網似乎正是在新的法律程序下開展的。根據新法,美國防長可以在沒有總統特別批準的前提下授權開展網絡空間“秘密軍事行動”。目前,特朗普政府不愿評論此次行動是否屬于新法規定范疇。不過美國官員表示,美軍偵查俄羅斯電網至少可以追溯到2012年。

美國國家安全委員會官員拒絕評論此事。

>>阿根廷大規模停電事件

6月16日早7點左右,阿根廷發生大規模停電,首都布宜諾斯艾利斯的交通信號燈停止運作,地鐵、城際鐵路、公交車等公共交通全部停運,鄰國烏拉圭、巴西、智利和巴拉圭部分地區的電力也中斷。

阿根廷能源部長洛佩特吉在推特上說:“沿海輸電系統早上發生故障并導致全國停電。目前我們無法確定到底出了什么問題。這是史無前例的事件,我們一定會徹查到底。”他表示,“雖然網絡攻擊不是主要假設,但不能排除這個可能性。”

16日晚,阿根廷能源部的聲明稱:“根據截止20時15分的數據,已恢復總需求量的98%。”從事該國電力分配的兩家公司Edesur和Edenor也發布消息稱,已恢復了為全部用戶提供服務。此外,烏拉圭國家電力公司發布消息稱,“已恢復早上發生故障期間中斷的98.5%服務。不過,恢復工作將持續至凌晨。“

能源部長Lopetegui表示對事件原因“不敢提出任何假設”,因為他尚未掌握所有必要信息。Lopetegui表示,這個“非同尋常”的事故本不該發生,“從簡單故障發生的那一刻起,到整個國家的電網在沒有人為干預的情況下完全斷電,只有不到一秒鐘的時間,而本該隔離的故障部分卻沒有自動切斷。這在阿根廷歷史上從未發生過,F在的問題是要搞明白為什么一個明明有能力實現部分隔離的系統會出現失靈?”

事故原因有待查明,阿根廷政府表示對周日停電造成的經濟損失目前仍無法估計。

2019年7月

>>美國紐約停電事件

當地時間7月13日晚,紐約曼哈頓發生大規模停電,包括中心地帶的時代廣場、地鐵站、電影院、百貨公司等均陷入一片漆黑。據悉,此次停電造成大約4.2萬名居民斷電,還有多人被困電梯。停電發生在晚上7點前,當時氣溫大約30攝氏度。紐約市長白思豪在推特上表示,紐約應急管理辦公室正在同紐約市警察局及紐約市消防局等方面通力合作,應對此次停電事故。7月13日下午6點45分左右一直到午夜前,從紐約時報廣場到百老匯的近40個街區里,千萬人受到停電影響。

圖表 13 紐約曼哈頓停電場景

據美國?怂剐侣剤蟮,美國最大的私人能源公司之一,聯合愛迪生在7月14日發表聲明稱,此次大規模停電與一次“重大電力傳輸”有關。

聯合愛迪生公司總裁蒂姆·考利(Tim Cawley)表示,停電與該公司電網的需求量無關,并補充稱,隨著氣溫升高,該公司已做好準備應對夏季用電高峰。

聯合愛迪生公司稱將盡力調查此事,以確定事故根本原因所在。該公司發布的新聞稿內表示,“在接下來的幾天或幾周內,我們的工程師和相關人員將仔細檢查與此次事件有關的設備,并進行相應的數據分析,成果將會與公眾分享。”

當地時間7月15日,紐約愛迪生聯合公司官方回復:13日晚的紐約市的大面積停電是變電站繼電保護系統失靈引起的。

巧合的是,美國媒體報道說,7月13日正好是紐約1977年大停電42周年紀念日。

另外有美方報導稱:伊朗革命衛隊信息戰部隊成功的突破了美國信息戰部隊的圍堵,闖入了紐約市三十多個變電站的控制中心,并對控制中心進行信息站破壞,導致了紐約全城大約4個小時的停電。

美國軍方也有人士透露,革命衛隊的信息戰部隊設法滲透,甚至可以遠程操控美國的變電站控制系統。在大規模停電發生前,其中一個變電站控制中心的操作人員發現顯示器上的光標出現了抖動現象,而當時他并沒有操縱鼠標,當他試圖控制光標時已經晚了,鼠標已經不受控,隨即點擊了總開關,自己拉黑電網。

美軍信息站專家Robert Lee表示:“這是一次蓄謀已久并深思熟慮的高手作案。首先,伊朗的“網絡軍團”們將引導病毒引入美國變電站的計算機內。為此,他們將病毒軟件隱藏在電子郵件中,只要美國電站操作員打開時就會自動啟動。“

>>烏克蘭某核電站發現了挖礦設備

7月10日,在南烏克蘭核電廠SE NAE Energoatom的中央控制面板行政大樓104號辦公室被進行了授權搜查,發現并沒收了計算機設備和部件。被沒收的設備包括六臺Radeon RX 470 GPU視頻卡,一塊主板,電源和延長線,一臺USB和硬盤,以及安裝在發電廠的冷卻裝置。

同一天,在該核電廠的另一個地方的突擊檢查中發現了更多的數字貨幣采礦設備。該單位沒收了16個視頻卡,一個系統單元,其中包括軍用單元的庫存號,七個硬盤,兩個固態硬盤,一個USB閃存盤和一個路由器。

這些計算機設備并未在核電廠網絡內獲得授權,組成了一個可以訪問互聯網的單獨的局域網,并用于接收加密貨幣。此外,SBU員工在SUE NPP的其他場所發現并沒收了CTC聯合媒體轉換器,光纖和網絡電纜,理論上這些電纜都不應該出現在這些場所內。

該電廠由國有企業Energoatom運營,注冊為國家機密,這意味著其場地內不允許使用外部計算設備。與互聯網進行外聯挖礦,可能導致破壞了核設施的安全,并最終泄露核電站物理保護系統的機密信息。

2019年8月21日,烏克蘭安全局(SBU)因此事發起逮捕行動,此次事故被列為國家機密泄露事故。據當地媒體報道,由于有人懷疑安全發電廠數據泄漏,當局已啟動刑事訴訟程序。

>>委內瑞拉再次大范圍停電事件

當地時間7月22日,委內瑞拉又一次遭遇大范圍停電,據路透社報道,委內瑞拉的23個州中有一半以上受到了停電影響。

停電發生約1小時后,委新聞和通信部長羅德里格斯在委內瑞拉國家電視臺發表講話時表示,初步調查結果顯示,造成本次大規模停電的原因是委供電系統中最主要的古里水電站遭到電磁攻擊。委內瑞拉電力供應逾6成來自水力發電,而絕大多數電量由古里水電站提供。

圖表 14 委內瑞拉停電區域

>>南非電力公司City Power遭勒索軟件攻擊

7月25號,南非約翰內斯堡City Power 電力公司遭勒索軟件攻擊,導致一些居民區的電力中斷。由 @CityPowerJhb 官方 Twitter 賬號公布的信息可知,這家企業負責為當地居民提供預付費電力供應,但惡意軟件加密了該公司的數據庫、內部網絡、Web Apps、以及官方網站。

該公司數據庫、網絡、應用程序等,遭勒索軟件加密而無法運作。這也導致客戶無法透過網站買電、賣電、上傳發票及存取公司網站。雖然電廠緊急調派人力,但雪上加霜的是,電廠的派工維修系統也無法運作,讓停電修復的作業受到影響,造成用戶抱怨電廠沒有備援機組,而不能在這段期間取代供電,斷電時間長達12小時。

圖表 15 CityPowerJhb官方Twitter賬號公布的信息

2019年8月

>>我國部分醫療電力系統遭勒索軟件攻擊

騰訊安全御見威脅情報中心通過蜜罐系統監測到Ouroboros勒索病毒在國內有部分傳播,監測數據表明,已有湖北、山東等地的醫療、電力系統的電腦遭遇該勒索病毒攻擊。經分析發現,該病毒的破壞僅在部分有限的情況可解密恢復,但在病毒按預期運行,基礎設施完善情況下,暫無法解密。

Ouroboros勒索病毒首次出現于2019年8月中旬,目前發現其主要通過垃圾郵件渠道傳播,由于其PDB路徑中包含Ouroboros故因此得名,該病毒加密文件后會添加 .Lazarus擴展后綴。

2019年9月

>>印度核電公司遭受朝鮮黑客攻擊

新聞社IANS  9月初的報道稱,Kudankulam核電站的兩個反應堆之一已中止運行,惡意軟件Dtrack的變體感染了核電站的管理網絡,可能包括竊取設施的鍵盤記錄、檢索瀏覽器歷史記錄,以及列出正在運行的進程等,并不確定是否應能想到用于控制核反應堆的關鍵內網。

該核電站主要由俄羅斯設計和提供反應堆機組,為印度南部電網提供電力。這座核電廠已成為印俄最大的合作項目之一。

圖表 16 印度庫丹庫拉姆核電站

Pukhraj Singh是一名印度的威脅情報分析師。據他透露,9月4日以前,第三方機構發現針對印度核電廠的網絡攻擊活動,并告知了他,于9月4日通報了英國NCSC機構,并在9月7日對外提起了此事件

圖表 17 Pukhraj Singh披露印度核電站事故

10月28日,某Twitter用戶披露了一個名為DTrack的病毒樣本,并且指出其內嵌了疑似與印度核電廠相關的用戶名KKNPP,隨后引發熱議。

10月29日,各大新聞媒體公開披露該事件,并且印度安全人員對歷史情況進行一些解釋和說明,并且披露攻擊者已經獲取核電廠內部域控級別的訪問權限。

最初,核電站方面否認他們遭受了任何惡意軟件感染,發表聲明將這些推文描述為“虛假信息”。

10月30日,這一被官方稱之為“虛假消息”的事件卻被自己推翻。他們在另一份聲明中承認核電站確實感染了黑客組織創建的惡意軟件,該軟件由黑客組織Lazarus Group開發,屬于Dtrack后門木馬的變體。

但是,核電站方面也強調,朝鮮惡意軟件僅感染了其管理網絡,但未到達其關鍵的內部網絡,這些內部網絡用于控制發電廠的核反應堆。言外之意,朝鮮攻擊并非造成核反應堆“停工”的原因。

韓國Issue Makers Lab的研究人員說,攻擊者為來自朝鮮的Kimsuky組織,并透露稱,攻擊印度核能部門的一名黑客正在使用僅在朝鮮生產和使用的朝鮮自有品牌的計算機。一名黑客使用的IP來自朝鮮的平壤。而朝鮮黑客知道印度工廠的IP網絡。他們滲透到了工廠內部,但沒有發送破壞性代碼。

Issue Maker Lab發現,黑客使用的計算機是在朝鮮生產且僅在朝鮮使用的型號。這幫助他們獲得了機器的MAC地址以及IP地址的詳細信息。兩者都帶有朝鮮簽名。他們的調查還發現,惡意軟件代碼中使用了朝鮮語。

美國《原子科學家公報》日前報道,雖然庫丹庫拉姆核電站反應堆運行沒有受到影響,但這一事件再次發出警告,人類社會兩個最大的安全風險,即網絡攻擊與核威懾,正在發生危險的“碰撞”,其嚴重后果,完全可能演變為無法控制的人禍。

>>英國大范圍停電事件

路透社報道,9月9日晚高峰,英國遭遇大范圍停電,地鐵停運、機場癱瘓、交通信號燈熄滅,一些醫院甚至備用發電機熄火。按照英國交通警察的說法,這次停電及其造成的影響“史無前例”。

英國英格蘭、威爾士等地區遭遇停電,首都倫敦多個區域未能幸免。雖然停電時長最多1個小時,但是停電造成的“混亂狀況”預期會持續一整天。

停電恰逢周五晚,英國媒體說“這是一周中最繁忙的時段之一”,大量民眾剛剛結束一周的工作,搭乘地鐵、城際列車或飛機回家度周末。

英國這次停電規模較大,暫不清楚總共多少民眾受影響。西部電力公司估算,這家電企的大約50萬名用戶受停電影響。北部電力公司說,這家電企的大約11萬名用戶遭遇停電,東北部城市紐卡斯爾的機場和地鐵運行受影響。

英國國家電力公司披露,當天停電與兩臺發電機出現故障相關,故障已經排除。

>>伊朗石油和金融設施遭受大范圍攻擊

當地時間9月22日晚,伊朗遭遇了一次大規模襲擊,整個伊朗的網絡系統遭遇了不明來源的大規模攻擊,其中重點攻擊目標在于伊朗的石油和金融設施,對此毫無準備的伊朗,受到了慘重損失。在短時間之內,其金融和石油設施迅速癱瘓,一切正常交易都無法進行下去。好在德黑蘭方面及時向俄羅斯請求援助,俄羅斯派遣了大量網絡戰專家遠程指揮伊朗網絡安全部門反擊,才度過了這一劫。

根據伊朗高層不愿透露姓名的官員表示,目前俄羅斯已經確定攻擊來源正是美國中央情報局。中情局希望用這種手段,讓伊朗暴露出自己的弱點,最終達到使得伊朗方面屈膝投降的目的。

近日沙特油田被炸,美國指責伊朗在背后搗鬼,揚言伊朗要為其負責。就沙特油田事件,美伊關系再度惡化,所以美國在幕后支持這次網絡攻擊行動的可能性極大。

>>德國汽車零部件制造商境外工廠遭惡意軟件攻擊

9月25號,總部位于德國的汽車零部件和國防解決方案提供商Rheinmetall宣布,由于受到惡意軟件攻擊,其在美國,巴西和墨西哥的汽車工廠的生產受到了干擾。

該攻擊于9月24日晚上開始,攻擊涉及一個未知的惡意軟件。該公司表示,該事件導致該惡意軟件進入IT系統的工廠受到“重大破壞”。

該公司認為,從攻擊中恢復需要花費兩到四周的時間,并且估計從第二次攻擊開始,該事件將導致每周損失300萬歐元(330萬美元)至400萬歐元(440萬美元)。該公司已向客戶保證,它將能夠在短期內交付訂單。

攻擊主要針對美洲(美國,墨西哥,巴西)的系統,而僅針對汽車系統。該地區以外和國防領域的其他系統目前都沒有受到影響。

2019年10月

>>伊朗阿巴丹煉油廠起火

10月20日,國際知名刊物作者,英國廣播公司(BBC)通訊員Babak Taghvaee在Twitter上附帶視頻發布伊朗阿巴丹煉油廠起火消息,并稱火災是由確認的網絡攻擊所為。

阿巴丹(Abadan)煉油廠建于1912年,是伊朗同類煉油廠中的最大的一家,也曾經是世界上最大的煉油廠,并且目前和中方企業存在合作關系。

圖表 18 Babak Taghvaee發布的消息和視頻

很巧的是,就在前幾日的10月16日,路透社援引美國兩名官員話稱“美在對伊朗發起秘密網絡攻擊行動,以還擊9月14日沙特石油被襲之恨”。

圖表 19 路透社發布的美國官員對伊朗發起網絡攻擊的報道

16日的國防會議上,美國軍方向特朗普列出多項打擊伊朗的選項,包含攻擊位于伊朗阿巴丹的全球最大煉油廠之一,又或位于哈爾克島的伊朗最大石油出口設施,可重創伊朗的石油生產及出口能力。

一向忠實支持特朗普政策的共和黨參議員格雷厄姆,形容襲擊沙特石油設施屬“戰爭行動”,美國需果斷回應,包含考慮攻擊伊朗煉油廠。然而,多名共和黨參議員包含參院外交委員會主席里施,則敦促政府避免倉促決定?梢,伊朗阿巴丹此前就被列為攻擊目標。

2019年11月

>>墨西哥國有石油公司Pemex遭勒索軟件攻擊

11月10日,墨西哥國有石油公司Pemex遭受到勒索軟件攻擊,被索要565 個比特幣,約490萬美元的贖金。不過Pemex表示,只有不到5%的電腦受到了影響。不過根據內部備忘錄的說法,要求所有員工切勿打開電腦,在本周晚些時候再重新開機,但拒絕按攻擊者的要求在48小時內支付贖金。

在隨后的推特聲明中,Pemex表示他們的運作一切正常,燃料生產、供應和庫存沒有受到影響。

最初有報道稱,Pemex受到了Ryuk勒索軟件的影響,但泄露出的贖金信息和Tor付款網站都證實這是DoppelPaymer勒索軟件,屬于BitPaymer勒索軟件的變種。

在安全研究人員Pollo分享的贖金信息截圖中,我們可以清楚地識別出DoppelPaymer,這也和BitPaymer的贖金信息非常相似。

圖表 20 Pemex收到的勒索信截圖

2019年12月

>>英國核電站遭受攻擊

12月2號,電訊報和都市晨報報道,一份周末披露的報告稱英國一家核電廠遭到了網絡攻擊,目前仍然沒有恢復正常運營。

圖表 21 英國核電廠遭網絡攻擊

事件原委由telegraph公司提供,該媒體稱:GCHQ的子公司國家網絡安全中心(NCSC)一直在秘密地向英國一家核電公司提供援助,因為該公司在遭受網絡攻擊后一直難以恢復。

核退役局(NDA)使用信息自由法獲得的一份報告提到,核電公司的相關工作人員意識到核發電廠的一項重要業務已受到網絡攻擊,造成負面影響,目前必須依靠NCSC的專業知識來應對,幫助業務恢復。該文件來自2019年3月13日的董事會委員會會議,這是首次成功證明對英國一家核公司進行網絡攻擊的證據。

目前尚不清楚網絡攻擊造成了什么損害或網絡攻擊是否使公共安全受到威脅。NCSC拒絕列出參與攻擊的公司或提供有關攻擊的詳細信息。而負責清理舊核電廠和乏燃料的NDA說,提供詳細信息是“不適當的”,理由是“該事件與NDA集團以外的組織有關”。

這些披露可能會促使人們猜測英國核電站的安全漏洞,無法提供詳細信息引起了人們對英國核電部門透明度和安全性的擔憂。獨立核研究顧問戴維·洛瑞(David Lowry)表示,該部門將對透露的細節保持謹慎。他說,他們非常清楚,他們只需要發生一次安全事件,就會破壞整個系統的安全聲譽。……僅出于聲譽原因,他們承受不了失誤的負擔。因此不會過多披露細節。但從描述來看,此次網絡攻擊很有可能已經獲取到極高的系統權限,否則僅靠隔離受害主機從而批量重裝系統的方式即可進行業務恢復。

其中,原文稱關于攻擊目標的猜測可能集中在法國電力公司(EDF)上,法國電力公司在英國主導著核能發電。而該公司卻拒絕在本周末就此事發表評論。

>>美國RavnAir航空公司遭受網絡攻擊

12月22日,據報道,黑客發起了一次針對Ravn Air航空公司的網絡攻擊,最終導致飛機維修等關鍵系統關閉,迫使Ravn Air航空公司取消了至少6個阿拉斯加的航班,影響了約260名乘客。

該航空公司在一份書面聲明中表示,因為網絡攻擊迫使其斷開了Dash 8的維護系統和備份,因此公司在中午之前取消了所有涉及Dash 8飛機的航班。該航空公司為阿拉斯加的100多個社區提供服務,其中許多社區無法通過公路到達。目前,Ravn Air航空公司正在與美國聯邦調查局和網絡安全專家合作,以恢復系統并調查網絡攻擊。

23號,公司對外宣布:我們將盡快在Dash-8航班上按照正常的時間表運行,我們將嘗試在接下來的兩天內增加航班數量,盡可能在其他航班上重新為受影響乘客安排座位。

>>中東遭伊朗惡意軟件ZeroCleare攻擊

12月20號,IBM的X-Force事件響應和情報服務(IRIS)發布報告,披露了一種全新的破壞性數據清除惡意軟件 ZeroCleare,該惡意軟件以最大限度刪除感染設備數據為目標。

IBM雖沒有透露此次遭受攻擊的具體公司,但可以確認ZeroCleare瞄準的是中東的能源和工業部門,初步估算已有1400臺設備遭感染。ZeroCleare用來執行破壞性攻擊,主要是擦除主引導記錄(MBR),并損壞大量網絡設備上的磁盤分區,說白了就是大肆刪數據。

IBM報告也證實,ZeroCleare和破壞性惡意軟件Shamoon同宗,都是出自伊朗資助的頂級黑客組織之手。不同的是,Shamoon 來自APT33組織,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)組織協作開發。

 圖表22 IBM發布的ZeroCleare惡意軟件報告截圖

伊朗黑客組織APT34(Oilrig)至少從2014年起就瞄準中東和國際受害者,目標也多集中在金融、政府、能源、化工和電信等關乎國家安全的重要領域?梢哉f,APT34的整體攻擊動向,與伊朗國家利益和作戰時間安排保持高度一致。

通過各種網絡手段,幫助政府達成政治、經濟、軍事目的,是APT34一類國家級黑客組織行動的核心。今年早期,APT34(Oilrig)就曾偽裝成劍橋大學相關人員,使用LinkedIn傳送惡意文件,進行網絡釣魚攻擊,預謀竊取重要信息。

從披露的攻擊進程來看,執行ZeroCleare惡意程序前,黑客會先通過暴力攻擊,訪問安全性較弱的公司網絡帳戶,而當拿到公司服務器帳戶的訪問權限后,就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨后,攻擊者便會在入侵設備商,開啟橫向擴散模式,部署ZeroCleare數據摧毀惡意軟件,上演破壞性的數據擦除攻擊。至于攻擊細節上,一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。

EldoS RawDisk是一個主要用于與文件、磁盤和分區進行交互的合法工具包。為了順利運行ZeroCleare,攻擊者會先通過名為soy.exe的中間文件,加載易受攻擊簽名驅動程序VBoxDrv,強制(DSE)接受并運行驅動程序。

成功拿到權限后,ZeroCleare就會通過濫用合法工具包EldoS RawDisk的方式,擦除MBR并損壞大量網絡設備上的磁盤分區,達到破壞性攻擊的目的。

值得一提的是,為了獲得設備核心的訪問權限,ZeroCleare還會使用易受攻擊的驅動程序和惡意的PowerShell / Batch腳本,繞過Windows控件。

>>韓國數百家工業企業文件被竊取

12月18號,美國物聯網及工控系統安全公司CyberX威脅情報小組公布了一項針對韓國工業企業的高級持續性間諜活動。據介紹,攻擊者會使用帶有惡意附件的魚叉式網絡釣魚電子郵件,偽裝成PDF文件發動攻擊。成功入侵后,攻擊者會從瀏覽器和電子郵件客戶端中竊取登錄數據,還會搜尋各種類型的文檔和圖像。

值得注意是,一旦有關工業設備設計的專有信息、商業秘密、知識產權被竊取,輕則攻擊者會對攻擊目標進行網絡偵察,發動勒索攻擊,或者將這些信息出售給競爭對手和尋求提高其競爭地位的國家;重則攻擊者可以憑借對IoT / ICS網絡的遠程RDP訪問權限,對該國重要且具有軍事意義的工廠布局了如指掌,并可在某關鍵時刻,直接對該國的工業企業和關鍵基礎設施進行破壞性打擊。

另外,危機比我們想象的還要快。據統計,已有數百家韓國工業企業受到影響。其中,最大受害者為一家關鍵基礎設施設備的制造商,它專為化工廠,輸電、配電設施或可再生能源行業的公司提供產品。此外,鋼鐵制造商、化工廠建設公司、管道制造商、閥門制造商、工程公司等相關企業也確認受到影響。

更糟糕的是,攻擊活動已波及全球。數據顯示,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業系統也不同程度受到影響。

該APT組織使用Separ惡意軟件新版本竊取敏感數據和文件,包括工程布局、有關工業設備設計的專有信息等。截至目前,已影響了至少200個系統,受害者約60%的企業為韓國工業企業。此外,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業企業也不同程度受到影響。

圖表 23 Separ惡意軟件影響范圍

總結和展望

整理完2019年的工控相關安全事件,心情頗為復雜。工控行業安全事故一旦發生,帶來的影響不可估量,不僅有巨大的經濟損失,也帶來巨大的社會影響,直接影響到成千上萬人的日常生活。

總結2019年全球工控安全事件,可以得出下面幾個結論:

1、黑客組織的重點攻擊目標是制造行業和能源行業,個人黑客較少針對工控行業發起攻擊。

2、制造行業,主要遭遇勒索軟件和信息竊取攻擊。勒索軟件導致生產線停工對工廠帶來巨大的經濟壓力,惡意分子要求他們迅速付款以恢復運營,而且,停機、清理、合同支付和股價下跌之間的成本可能是巨大而無法估量的。另外制造行業的機密數據也具有極其重要的商業價值,是有組織的黑客的重點目標。一些重要的大型制造廠商也可能遭遇國家級黑客組織的攻擊,這些攻擊不以勒索為目的,而是為了破壞生產,造成嚴重的經濟損失。

3、能源行業(包括電力、石油等),主要遭遇破壞性攻擊。能源行業是社會正常運行的基礎,沒有電、沒有石油,現代社會無法正常運行。從早些年的“震網”事件,到今年這些核電站、水電等電力系統和煉油廠的安全事件,充分表明針對能源行業的攻擊事件正越來越多。

4、黑客組織的國家背景凸顯。低廉的攻擊代價和高危的攻擊結果,讓破壞性攻擊逐漸泛化,越來越多擁有國家支持背景的黑客,開始利用破壞性攻擊緊盯能源、制造、金融等關鍵性重要領域。

總體來看,工控安全行業還有很長的路要走,還有很大的市場要開拓,相應也有很大的壓力要承擔,可謂是“任重而道遠”。針對工控行業的網絡攻擊和竊密,可以用很小的投入,換來極大的破壞力或收益,正被越來越多的黑客組織所重視,類似的安全事件今后還會越來越多。“沒有網絡安全就沒有國家安全”,工控安全更是直接關系到國際民生,關系到國家安全,責任重大。越來越多國家背景的黑客組織出現,網絡攻擊和竊密已經逐漸成為某些國家和黑客組織的日;顒,這都為網絡安全防護帶來極大的困難。除了傳統的安全防護手段,工控安全防護工作必須轉變思路,以黑客的角度來思考問題,做安全防護。

我國各級網信部門、工廠企業、能源部門和金融部門等都應以習總書記關于網絡強國的重要思想為指導,樹立正確的網絡安全觀,全面貫徹落實總體國家安全觀,強化關鍵信息基礎設施防護,加強網絡安全信息統籌機制、手段、平臺建設,不斷創新網絡安全人才培養使用機制,深入開展網絡安全知識技能普及工作,全方位筑牢國家網絡安全屏障、推進網絡強國建設。

【思南新發現】福祿克1535絕緣表

  寄語 | 關于我們 | 聯系我們 | 廣告服務 | 本站動態 | 友情鏈接 | 法律聲明 | 非法和不良信息舉報  
工控網客服熱線:0755-86369299
版權所有 中華工控網 [email protected] Gkong.com, All Rights Reserved

經營許可證編號:粵B2-20040325
網安備案編號:4403303010105
篮球简笔画 澳大利亚快乐8 甘肃快3 湖南快乐十分开奖102 时时彩软件真假 好彩1开奖视频 基金配资的会计处理 浙江体彩十一选五遗漏 股票配资平台哪个好一点 体山西十一选五走势图 福建休彩31选7走势图