天地和兴：2020上半年10大典型工业网络安全事件

　　从美通社获知，2020年是不同寻常的一年。网信事业成为我国新一轮改革和国家治理的新命题。网络安全在危机中育有新机，于变局中待开新局。全球新冠疫情的流行，给各能力层次的网络威胁行为体提供了网络攻击的重大机遇。地缘政治的竞合，使得物理空间的竞争对抗与网络空间的争夺融合并发。新兴技术的应用同时也带来了更新的网络安全问题和风险。错综复杂的新形势、新常态，使网络空间对抗的形势更加严峻复杂。工业行业作为近年来地缘政治争夺和网络空间对抗的主战场，网络攻击事件频发、多发。覆盖行业面广，石油、能源、电力、制造、水利、公共设施，无一幸免。攻击手段综合复杂，数据窃取、隐蔽控制、勒索谋财，无所不用。

　　今年2月，美国网络安全和基础设施安全局（CISA）公告称，一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。4月24日至25日两天，以色列的供水命令和控制系统遭受攻击，5月9日，伊朗在位于霍尔木兹海峡附近的重要港口朗沙希德·拉贾伊也遭受“高度精准”网络攻击，致使该港口发生严重混乱。在冠状病毒大流行期间，有10多个医疗机构遭受了以冠状病毒为主题的网络攻击。美国CISA发布通告警醒，迹象表明，高持续威胁（APT）团体正在利用COVD-19大流行实施更加广泛的网络攻击。各种玩家粉墨登场。

　　天地和兴对所监测到的工业领域的网络安全事件进行梳理，筛选10起比较典型的攻击事件，代表典型的行业、典型的手段，以此警示关键信息基础设施相关利益方，警钟常鸣，防患未然。

　　1、美国天然气管道遭受勒索软件攻击

　　2月，美国网络安全和基础设施安全局（CISA）发布公告，称一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。

　　攻击从钓鱼邮件内的恶意链接发起，从其IT网络渗透到OT网络， 勒索软件对IT和OT资产都造成了影响。攻击发生在该公司的天然气压缩设施，没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对执行部件的控制权。

　　根据CISA报告中提供的有限细节，攻击者最初使用包含恶意链接的鱼叉式网络钓鱼邮件攻击未公开名字的美国天然气管道运营商。安全意识不足的运维人员访问链接后使得身份不明的攻击者能够访问企业的IT网络，随后以IT网络为跳板攻击到OT网络的ICS资产。

　　为了排查问题并恢复运营，工作人员关闭了压缩设施两天，尽管勒索病毒仅直接锁定了一个控制设备的网络数据，但由于天然气传输对管道的依赖性，一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。而作为下游能源供应商，受天然气供应关闭影响的上游企业虽未公布，但波及范围可想而知。

　　2、澳大利亚一航运及物流公司持续遭受勒索软件攻击

　　2月，澳大利亚一航运及物流公司遭到勒索软件攻击，随后该公司便清理服务器，防止数据被盗。据悉，该公司四个月内已遭受二次勒索软件攻击。

　　经调查发现，被攻击系统中存在Nefilim勒索软件（由Nemty演变而来的新一代勒索软件），该勒索软件会利用暴露在外的远端桌面（RDP）连接端口进行传播，并使用AES-128算法来加加密文件。在盗走企业资料后，不法分子会以公布机密资料作为理由来勒索企业。

　　3、钢铁制造商遭受勒索软件攻击

　　3月，一家钢铁制造商在北美分支机构，包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击，导致其在北美的分支机构瘫痪，大多数工厂都已停止生产。该公司是全球，的跨国垂直整合炼钢和采矿公司之一，主要在俄罗斯运营，但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。

　　4、以色列水利基础设施遭受重大网络攻击

　　4月，黑客攻击了以色列的水利设施。该国的废水处理厂、泵站、污水处理设施的SCADA系统多次遭受了网络攻击，以色列国家网络局发布公告称，各能源和水行业企业需要紧急更改所有联网系统的口令，以应对网络攻击的威胁。以色列计算机紧急响应团队(CERT)和以色列政府水利局也发布了类似的安全警告，水利局告知企业“，更改运营系统和液氯控制设备”的口令，因为这两类系统遭受的攻击最多。

　　5、欧洲能源巨头遭勒索软件攻击

　　4月，葡萄牙一跨国能源公司遭到勒索软件攻击。攻击者声称，已获取该公司10TB的敏感数据文件，并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。

　　在反病毒系统检测到勒索软件后，该公司内部IT网络出现中断。为了预防起见，暂时隔离了公司网络，以便实施可消除残余风险的所有干预措施。这些连接已在第二天清晨安全恢复。电力资产和发电厂的远程控制系统没有发生重大问题，客户数据也没有暴露给第三方。由于内部IT网络暂时堵塞，客户服务活动可能会在有限的时间内暂时中断。

　　6、伊朗霍尔木兹海峡的重要港口遭受网络攻击

　　5月9日，伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭遇网络攻击。调节船只、卡车、货物流通的计算机系统一度崩溃，致使该港口水路和道路运行发生严重混乱。

　　伊朗港口和海事组织总干事穆罕默德·拉斯塔德也就此事表示：不明身份的外国黑客令其港口计算机发生短暂性“停工”。但表示，网络攻击并没有渗透到核心计算机。据《以色列时报》报道，5月9日通往沙希德·拉贾伊港的高速公路上出现了长达数公里的交通拥堵，甚至一连几天，大量船只仍无法入港进行卸载。

　　7、台湾两大炼油厂遭受勒索软件攻击

　　5月，台湾两大炼油厂在两天内都受到了网络攻击。

　　一家公司首先受到攻击，而另一家在第二天也遭受攻击。5月4日，对前者的攻击使其IT和计算机系统关闭，加油站无法访问用于管理收入记录的数字平台。

　　尽管仍接受信用卡和现金，但客户无法在加油站使用VIP支付卡或电子支付应用程序。其中一家公司高管声称，破坏是由勒索软件引起的。

　　8、瑞士铁路机车制造商遭勒索攻击

　　5月，瑞士一铁路机车制造商对外披露，其近期遭受了网络攻击，攻击者设法渗透其IT网络，并用恶意软件感染了部分计算机，很可能已经窃取到部分数据。未知攻击者试图勒索该公司巨额赎金，否则将会公开所盗取的数据。

　　该公司声称已针对该事件展开调查，并拒绝支付赎金，通过重新启动受影响系统，运行备份系统恢复运营。

　　9、汽车制造商遭受勒索软件Snake攻击

　　6月7日，某汽车制造商位于美国、欧洲及日本分公司的服务器，遭勒索软件攻击。BBC的报道显示该公司过去48小时遭遇了极为惨烈的勒索软件攻击：勒索软件已经传播到其整个网络，影响了该公司的计算机服务器、电子邮件以及其他内网功能，目前企业正在努力将影响降到，，并恢复生产、销售和开发活动的全部功能。

　　该攻击事件影响了公司在全球的业务，导致电脑和其他装置无法作业，造成部分工厂停工，损失十分严重。

　　10、阿塞拜疆政府和能源部门遭受黑客攻击

　　思科Talos威胁情报和研究小组的报告显示，已经发现有针对阿塞拜疆能源领域的威胁攻击，特别是与风力涡轮机相关的SCADA系统。

　　这些攻击针对的目标是阿塞拜疆政府和公用事业公司，恶意代码旨在感染广泛用于能源和制造业的监督控制和数据采集（SCADA）系统，在这些攻击中使用的新的基于Python的远程访问木马（RAT），称其为恶意软件PoetRAT。一旦它被投送到设备并执行，其操作员就可以指示它列出文件，获取有关系统的信息、下载和上传文件、截屏、复制和移动文件、在注册表中进行更改、隐藏和取消隐藏文件、查看和终止进程，以及执行操作系统命令。

　　除PoetRAT之外，攻击者还被发现将其他工具传送到被入侵的系统中，包括那些通过电子邮件或FTP窃取数据的工具，通过他们的网络摄像头记录受害者、记录键盘点击、从浏览器中窃取凭证、以及升级特权。

　　目前尚不清楚有多少次攻击成功。

　　仅仅过去半年，年初关于工业网络安全的种种预测正在逐步变为现实。网络空间威胁行为体仍然会将关键基础设施、非PC目标、SCADA/ICS/IoT、车联网、无人机甚至卫星基础设施作为攻击目标；复合手段的攻击仍然会持续，比如威胁行为体会将攻陷的IoT、IT节点组织为僵尸网络，成为后续勒索和间谍行动的支点或跳板；网络攻击会成为，威胁行为体在外交对抗与军事冲突之间的更为折衷的选项；网络战的阴霾持续加剧等等。

　　新基建浪潮的推动下，工业网络安全产业将迎来新一轮发展机遇和巨大的发展空间。不可否认的是，工业行业普遍存在历史性、系统性存量网络安全问题（如先天的协议和设计缺陷、技术防护措施不到位、威胁感知能力不足、安全制度落实不力、应急处置能力不足等）与5G、云计算、大数据、物联网等新兴技术应用带来的新风险新问题（平台安全、数据安全、应用安全、设备安全、控制安全）的叠加，形成更为复杂严峻的网络安全挑战和现实威胁。面对这种系统性、全局性现实威胁以及可能产生灾难性的后果和影响，需要网络安全能力供给方、行业监管部门和工业企业精诚团结，密切协作，全面把握“危”与“机”，以变应变、以变求变，立足大局，把握大势，谋求网络安全对抗新优势。