omniture

天地和興:2020上半年10大典型工業(yè)網(wǎng)絡(luò)安全事件

北京2020年7月8日 /美通社/ -- 2020年是不同尋常的一年。網(wǎng)信事業(yè)成為我國新一輪改革和國家治理的新命題。網(wǎng)絡(luò)安全在危機中育有新機,于變局中待開新局。全球新冠疫情的流行,給各能力層次的網(wǎng)絡(luò)威脅行為體提供了網(wǎng)絡(luò)攻擊的重大機遇。地緣政治的競合,使得物理空間的競爭對抗與網(wǎng)絡(luò)空間的爭奪融合并發(fā)。新興技術(shù)的應(yīng)用同時也帶來了更新的網(wǎng)絡(luò)安全問題和風(fēng)險。錯綜復(fù)雜的新形勢、新常態(tài),使網(wǎng)絡(luò)空間對抗的形勢更加嚴峻復(fù)雜。工業(yè)行業(yè)作為近年來地緣政治爭奪和網(wǎng)絡(luò)空間對抗的主戰(zhàn)場,網(wǎng)絡(luò)攻擊事件頻發(fā)、多發(fā)。覆蓋行業(yè)面廣,石油、能源、電力、制造、水利、公共設(shè)施,無一幸免。攻擊手段綜合復(fù)雜,數(shù)據(jù)竊取、隱蔽控制、勒索謀財,無所不用。

今年2月,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)公告稱,一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。4月24日至25日兩天,以色列的供水命令和控制系統(tǒng)遭受攻擊,5月9日,伊朗在位于霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊也遭受“高度精準”網(wǎng)絡(luò)攻擊,致使該港口發(fā)生嚴重混亂。在冠狀病毒大流行期間,有10多個醫(yī)療機構(gòu)遭受了以冠狀病毒為主題的網(wǎng)絡(luò)攻擊。美國CISA發(fā)布通告警醒,跡象表明,高持續(xù)威脅(APT)團體正在利用COVD-19大流行實施更加廣泛的網(wǎng)絡(luò)攻擊。各種玩家粉墨登場。

天地和興對所監(jiān)測到的工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全事件進行梳理,篩選10起比較典型的攻擊事件,代表典型的行業(yè)、典型的手段,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)利益方,警鐘常鳴,防患未然。


1、美國天然氣管道遭受勒索軟件攻擊

2月,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告,稱一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天。

攻擊從釣魚郵件內(nèi)的惡意鏈接發(fā)起,從其IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò), 勒索軟件對IT和OT資產(chǎn)都造成了影響。攻擊發(fā)生在該公司的天然氣壓縮設(shè)施,沒有擴散到控制壓縮設(shè)備的可編程邏輯控制器,因此該公司沒有失去對執(zhí)行部件的控制權(quán)。

根據(jù)CISA報告中提供的有限細節(jié),攻擊者最初使用包含惡意鏈接的魚叉式網(wǎng)絡(luò)釣魚郵件攻擊未公開名字的美國天然氣管道運營商。安全意識不足的運維人員訪問鏈接后使得身份不明的攻擊者能夠訪問企業(yè)的IT網(wǎng)絡(luò),隨后以IT網(wǎng)絡(luò)為跳板攻擊到OT網(wǎng)絡(luò)的ICS資產(chǎn)。

為了排查問題并恢復(fù)運營,工作人員關(guān)閉了壓縮設(shè)施兩天,盡管勒索病毒僅直接鎖定了一個控制設(shè)備的網(wǎng)絡(luò)數(shù)據(jù),但由于天然氣傳輸對管道的依賴性,一個控制設(shè)備的停擺最終導(dǎo)致這家企業(yè)關(guān)閉運營持續(xù)了兩天時間。而作為下游能源供應(yīng)商,受天然氣供應(yīng)關(guān)閉影響的上游企業(yè)雖未公布,但波及范圍可想而知。

2、澳大利亞一航運及物流公司持續(xù)遭受勒索軟件攻擊

2月,澳大利亞一航運及物流公司遭到勒索軟件攻擊,隨后該公司便清理服務(wù)器,防止數(shù)據(jù)被盜。據(jù)悉,該公司四個月內(nèi)已遭受二次勒索軟件攻擊。

經(jīng)調(diào)查發(fā)現(xiàn),被攻擊系統(tǒng)中存在Nefilim勒索軟件(由Nemty演變而來的新一代勒索軟件),該勒索軟件會利用暴露在外的遠端桌面(RDP)連接端口進行傳播,并使用AES-128算法來加加密文件。在盜走企業(yè)資料后,不法分子會以公布機密資料作為理由來勒索企業(yè)。

3、鋼鐵制造商遭受勒索軟件攻擊

3月,一家鋼鐵制造商在北美分支機構(gòu),包括加拿大和美國的鋼鐵生產(chǎn)廠均遭受了勒索軟件Ryuk攻擊,導(dǎo)致其在北美的分支機構(gòu)癱瘓,大多數(shù)工廠都已停止生產(chǎn)。該公司是全球最大的跨國垂直整合煉鋼和采礦公司之一,主要在俄羅斯運營,但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業(yè)務(wù)。

4、以色列水利基礎(chǔ)設(shè)施遭受重大網(wǎng)絡(luò)攻擊

4月,黑客攻擊了以色列的水利設(shè)施。該國的廢水處理廠、泵站、污水處理設(shè)施的SCADA系統(tǒng)多次遭受了網(wǎng)絡(luò)攻擊,以色列國家網(wǎng)絡(luò)局發(fā)布公告稱,各能源和水行業(yè)企業(yè)需要緊急更改所有聯(lián)網(wǎng)系統(tǒng)的口令,以應(yīng)對網(wǎng)絡(luò)攻擊的威脅。以色列計算機緊急響應(yīng)團隊(CERT)和以色列政府水利局也發(fā)布了類似的安全警告,水利局告知企業(yè)“重點更改運營系統(tǒng)和液氯控制設(shè)備”的口令,因為這兩類系統(tǒng)遭受的攻擊最多。

5、歐洲能源巨頭遭勒索軟件攻擊

4月,葡萄牙一跨國能源公司遭到勒索軟件攻擊。攻擊者聲稱,已獲取該公司10TB的敏感數(shù)據(jù)文件,并且索要1580的比特幣贖金(折合約1090萬美元/990萬歐元)。

在反病毒系統(tǒng)檢測到勒索軟件后,該公司內(nèi)部IT網(wǎng)絡(luò)出現(xiàn)中斷。為了預(yù)防起見,暫時隔離了公司網(wǎng)絡(luò),以便實施可消除殘余風(fēng)險的所有干預(yù)措施。這些連接已在第二天清晨安全恢復(fù)。電力資產(chǎn)和發(fā)電廠的遠程控制系統(tǒng)沒有發(fā)生重大問題,客戶數(shù)據(jù)也沒有暴露給第三方。由于內(nèi)部IT網(wǎng)絡(luò)暫時堵塞,客戶服務(wù)活動可能會在有限的時間內(nèi)暫時中斷。

6、伊朗霍爾木茲海峽的重要港口遭受網(wǎng)絡(luò)攻擊

5月9日,伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網(wǎng)絡(luò)攻擊。調(diào)節(jié)船只、卡車、貨物流通的計算機系統(tǒng)一度崩潰,致使該港口水路和道路運行發(fā)生嚴重混亂。

伊朗港口和海事組織總干事穆罕默德·拉斯塔德也就此事表示:不明身份的外國黑客令其港口計算機發(fā)生短暫性“停工”。但表示,網(wǎng)絡(luò)攻擊并沒有滲透到核心計算機。據(jù)《以色列時報》報道,5月9日通往沙希德·拉賈伊港的高速公路上出現(xiàn)了長達數(shù)公里的交通擁堵,甚至一連幾天,大量船只仍無法入港進行卸載。

7、臺灣兩大煉油廠遭受勒索軟件攻擊

5月,臺灣兩大煉油廠在兩天內(nèi)都受到了網(wǎng)絡(luò)攻擊。

一家公司首先受到攻擊,而另一家在第二天也遭受攻擊。5月4日,對前者的攻擊使其IT和計算機系統(tǒng)關(guān)閉,加油站無法訪問用于管理收入記錄的數(shù)字平臺。

盡管仍接受信用卡和現(xiàn)金,但客戶無法在加油站使用VIP支付卡或電子支付應(yīng)用程序。其中一家公司高管聲稱,破壞是由勒索軟件引起的。

8、瑞士鐵路機車制造商遭勒索攻擊

5月,瑞士一鐵路機車制造商對外披露,其近期遭受了網(wǎng)絡(luò)攻擊,攻擊者設(shè)法滲透其IT網(wǎng)絡(luò),并用惡意軟件感染了部分計算機,很可能已經(jīng)竊取到部分數(shù)據(jù)。未知攻擊者試圖勒索該公司巨額贖金,否則將會公開所盜取的數(shù)據(jù)。

該公司聲稱已針對該事件展開調(diào)查,并拒絕支付贖金,通過重新啟動受影響系統(tǒng),運行備份系統(tǒng)恢復(fù)運營。

9、汽車制造商遭受勒索軟件Snake攻擊

6月7日,某汽車制造商位于美國、歐洲及日本分公司的服務(wù)器,遭勒索軟件攻擊。BBC的報道顯示該公司過去48小時遭遇了極為慘烈的勒索軟件攻擊:勒索軟件已經(jīng)傳播到其整個網(wǎng)絡(luò),影響了該公司的計算機服務(wù)器、電子郵件以及其他內(nèi)網(wǎng)功能,目前企業(yè)正在努力將影響降到最低,并恢復(fù)生產(chǎn)、銷售和開發(fā)活動的全部功能。

該攻擊事件影響了公司在全球的業(yè)務(wù),導(dǎo)致電腦和其他裝置無法作業(yè),造成部分工廠停工,損失十分嚴重。

10、阿塞拜疆政府和能源部門遭受黑客攻擊

思科Talos威脅情報和研究小組的報告顯示,已經(jīng)發(fā)現(xiàn)有針對阿塞拜疆能源領(lǐng)域的威脅攻擊,特別是與風(fēng)力渦輪機相關(guān)的SCADA系統(tǒng)。

這些攻擊針對的目標是阿塞拜疆政府和公用事業(yè)公司,惡意代碼旨在感染廣泛用于能源和制造業(yè)的監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng),在這些攻擊中使用的新的基于Python的遠程訪問木馬(RAT),稱其為惡意軟件PoetRAT。一旦它被投送到設(shè)備并執(zhí)行,其操作員就可以指示它列出文件,獲取有關(guān)系統(tǒng)的信息、下載和上傳文件、截屏、復(fù)制和移動文件、在注冊表中進行更改、隱藏和取消隱藏文件、查看和終止進程,以及執(zhí)行操作系統(tǒng)命令。

除PoetRAT之外,攻擊者還被發(fā)現(xiàn)將其他工具傳送到被入侵的系統(tǒng)中,包括那些通過電子郵件或FTP竊取數(shù)據(jù)的工具,通過他們的網(wǎng)絡(luò)攝像頭記錄受害者、記錄鍵盤點擊、從瀏覽器中竊取憑證、以及升級特權(quán)。

目前尚不清楚有多少次攻擊成功。

僅僅過去半年,年初關(guān)于工業(yè)網(wǎng)絡(luò)安全的種種預(yù)測正在逐步變?yōu)楝F(xiàn)實。網(wǎng)絡(luò)空間威脅行為體仍然會將關(guān)鍵基礎(chǔ)設(shè)施、非PC目標、SCADA/ICS/IoT、車聯(lián)網(wǎng)、無人機甚至衛(wèi)星基礎(chǔ)設(shè)施作為攻擊目標;復(fù)合手段的攻擊仍然會持續(xù),比如威脅行為體會將攻陷的IoT、IT節(jié)點組織為僵尸網(wǎng)絡(luò),成為后續(xù)勒索和間諜行動的支點或跳板;網(wǎng)絡(luò)攻擊會成為國家級威脅行為體在外交對抗與軍事沖突之間的更為折衷的選項;網(wǎng)絡(luò)戰(zhàn)的陰霾持續(xù)加劇等等。

新基建浪潮的推動下,工業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)將迎來新一輪發(fā)展機遇和巨大的發(fā)展空間。不可否認的是,工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡(luò)安全問題(如先天的協(xié)議和設(shè)計缺陷、技術(shù)防護措施不到位、威脅感知能力不足、安全制度落實不力、應(yīng)急處置能力不足等)與5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用帶來的新風(fēng)險新問題(平臺安全、數(shù)據(jù)安全、應(yīng)用安全、設(shè)備安全、控制安全)的疊加,形成更為復(fù)雜嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實威脅。面對這種系統(tǒng)性、全局性現(xiàn)實威脅以及可能產(chǎn)生災(zāi)難性的后果和影響,需要網(wǎng)絡(luò)安全能力供給方、行業(yè)監(jiān)管部門和工業(yè)企業(yè)精誠團結(jié),密切協(xié)作,全面把握“危”與“機”,以變應(yīng)變、以變求變,立足大局,把握大勢,謀求網(wǎng)絡(luò)安全對抗新優(yōu)勢。

消息來源:北京天地和興科技有限公司
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection