2020上半年10大典型工業網絡安全事件

年初，美伊衝突波及網絡，網絡戰一觸即發。2月，美國網絡安全和基礎設施安全局（CISA）公告稱，一家未公開名字的自然氣公司因遭受勒索軟件攻擊後被迫關閉設施兩天。4月24日至25日兩天，伊朗對以色列的供水命令和控制系統展開攻擊，以色列不只確認伊朗就是發動攻擊的罪魁禍首，特別強調這是一場很是不尋常的網絡攻擊。5月9日伊朗在位於霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊遭以色列「高度精準」網絡攻擊，導致該港口發生嚴重混亂。在冠狀病毒大流行期間有10多個醫療機構遭受了以冠狀病毒爲主題的網絡攻擊。美國CISA發佈通告警醒，跡象代表，高持續威脅（APT）團體正在利用COVD-19大流行實施更加普遍的網絡攻擊。各類玩家粉墨登場。

01美國自然氣管道遭受勒索軟件攻擊

2月，美國網絡安全和基礎設施安全局（CISA）發佈公告，稱一家未公開名字的自然氣公司因遭受勒索軟件攻擊後被迫關閉設施兩天。

攻擊從釣魚郵件內的惡意連接發起,從其IT網絡滲透到OT網絡, 勒索軟件對IT和OT資產都形成了影響。攻擊發生在該公司的自然氣壓縮設施，沒有擴散到控制壓縮設備的可編程邏輯控制器，所以該公司沒有失去對執行部件的控制權。

根據CISA報告中提供的有限細節，攻擊者最初使用包含惡意連接的魚叉式網絡釣魚郵件攻擊未公開名字的美國自然氣管道運營商。安全意識不足的運維人員訪問連接後使得身份不明的攻擊者可以訪問企業的IT網絡，隨後以IT網絡爲跳板攻擊到OT網絡的ICS資產。

爲了排查問題並恢復運營，工做人員關閉了壓縮設施兩天，儘管勒索病毒僅直接鎖定了一個控制設備的網絡數據，但因爲自然氣傳輸對管道的依賴性，一個控制設備的停擺最終致使這家企業關閉運營持續了兩天時間。而做爲下游能源供應商，受自然氣供應關閉影響的上游企業雖未公佈，但波及範圍可想而知。

02澳大利亞Toll集團持續遭受勒索軟件攻擊

2月，澳大利亞航運及物流公司Toll集團遭到勒索軟件攻擊，隨後該公司便清理服務器，防止數據被盜。據悉，Toll集團四個月內已遭受二次勒索軟件攻擊。

經調查發現，被攻擊系統中存在Nefilim勒索軟件（由Nemty演變而來的新一代勒索軟件），該勒索軟件會利用暴露在外的遠端桌面（RDP）鏈接端口進行傳播，並使用AES-128算法來加加密文件。在盜走企業資料後，不法分子會以公佈機密資料做爲理由來勒索企業。

03鋼鐵製造商EVRAZ遭受勒索軟件攻擊

3月，鋼鐵製造商EVRAZ公司在北美分支機構，包括加拿大和美國的鋼鐵生產廠均遭受了勒索軟件Ryuk攻擊，致使其在北美的分支機構癱瘓,大多數工廠都已中止生產。EVRAZ是全球最大的跨國垂直整合鍊鋼和採礦公司之一，該公司主要在俄羅斯運營，但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業務。

04以色列水利基礎設施遭受重大網絡攻擊

4月，黑客攻擊了以色列的水利設施。該國的廢水處理廠、泵站、污水處理設施的SCADA系統屢次遭受了網絡攻擊，以色列國家網絡局發佈公告稱，各能源和水行業企業須要緊急更改全部聯網系統的口令，以應對網絡攻擊的威脅。以色列計算機緊急響應團隊(CERT)和以色列政府水利局也發佈了相似的安全警告，水利局告知企業「重點更改運營系統和液氯控制設備」的口令，由於這兩類系統遭受的攻擊最多。

05歐洲能源巨頭EDP遭勒索軟件攻擊

4月，葡萄牙跨國能源公司EDP（Energias de Portugal）遭到勒索軟件攻擊。攻擊者聲稱，已獲取EDP公司10TB的敏感數據文件，而且索要1580的比特幣贖金（摺合約1090萬美圓/990萬歐元）。

在反病毒系統檢測到勒索軟件後,該公司內部IT網絡出現中斷。爲了預防起見，暫時隔離了公司網絡，以便實施可消除殘餘風險的全部干預措施。這些鏈接已在次日清晨安全恢復。電力資產和發電廠的遠程控制系統沒有發生重大問題，客戶數據也沒有暴露給第三方。因爲內部IT網絡暫時堵塞，客戶服務活動可能會在有限的時間內暫時中斷。

EDP集團是歐洲能源行業（自然氣和電力）最大的運營商之一，也是世界第四大風能生產商，在全球四個大洲的19個國家/地區擁有業務，爲超過1100萬客戶提供能源。

06伊朗霍爾木茲海峽的重要港口遭受網絡攻擊

5月9日，伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網絡攻擊。調節船隻、卡車、貨物流通的計算機系統一度崩潰，導致該港口水路和道路運行發生嚴重混亂。

伊朗港口和海事組織總幹事穆罕默德·拉斯塔德也就此事認可：不明身份的外國黑客令其港口計算機發生短暫性「停工」。但表示，網絡攻擊並無滲透到核心計算機。據《以色列時報》報道，5月9日通往沙希德·拉賈伊港的高速公路上出現了長達數千米的交通擁堵，甚至一連幾天，大量船隻仍沒法入港進行卸載。

有消息稱，對此攻擊事件以色列彷佛予以了間接性認可。以色列陸軍司令阿維夫·科哈維表示：「咱們將繼續使用各類軍事工具和專門的戰鬥技術來傷害敵人。」

07臺灣兩大煉油廠遭受勒索軟件攻擊

5月，臺灣石油、汽油和自然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）在兩天內都受到了網絡攻擊。

CPC首先受到攻擊，而FPCC在次日也遭受攻擊。5月4日，對CPC的攻擊使其IT和計算機系統關閉，加油站沒法訪問用於管理收入記錄的數字平臺。

儘管仍接受信用卡和現金，但客戶沒法在加油站使用VIP支付卡或電子支付應用程序。CPC高管聲稱，破壞是由勒索軟件引發的。

08瑞士鐵路機車製造商Stadler遭勒索攻擊

5月，瑞士鐵路機車製造商Stadler對外披露，其近期遭受了網絡攻擊，攻擊者設法滲透其IT網絡，並用惡意軟件感染了部分計算機，極可能已經竊取到部分數據。未知攻擊者試圖勒索Stadler鉅額贖金，不然將會公開所盜取的數據。

Stadler是機架鐵路車輛的全球領先製造商，主營產品包括高速火車，城際火車，區域火車和S-Bahn火車，地下火車，電車火車和有軌電車。該公司聲稱已針對該事件展開調查，並拒絕支付贖金，經過從新啓動受影響系統，運行備份系統恢復運營。

09本田汽車Honda遭受勒索軟件 Snake攻擊

6月7日，本田汽車位於美國、歐洲及日本分公司的服務器，遭勒索軟件攻擊。本田隨後在一份聲明中表示：「本田能夠確認發生了網絡攻擊。該問題正在影響訪問計算機服務器及使用電子郵件以及使用內部系統的能力。此外對日本之外的生產系統也有影響。目前正在開展工做以最大程度地減小影響並恢復生產、銷售和開發活動的所有功能。」與本田的輕描淡寫不一樣，BBC的報道顯示本田過去48小時遭遇了極爲慘烈的勒索軟件攻擊：勒索軟件已經傳播到本田的整個網絡，影響了本田的計算機服務器、電子郵件以及其餘內網功能，目前本田正在努力將影響降到最低，並恢復生產、銷售和開發活動的所有功能。

該攻擊事件影響了公司在全球的業務，致使電腦和其餘裝置沒法做業，形成部分工廠停工，損失十分嚴重。

10阿塞拜疆政府和能源部門遭受黑客攻擊

思科Talos威脅情報和研究小組的報告顯示，已經發現有針對阿塞拜疆能源領域的威脅攻擊，特別是與風力渦輪機相關的SCADA系統。

這些攻擊針對的目標是阿塞拜疆政府和公用事業公司，惡意代碼旨在感染普遍用於能源和製造業的監督控制和數據採集（SCADA）系統，在這些攻擊中使用的新的基於Python的遠程訪問木馬（RAT），稱其爲惡意軟件PoetRAT。一旦它被投送到設備並執行，其操做員就能夠指示它列出文件，獲取有關係統的信息、下載和上傳文件、截屏、複製和移動文件、在註冊表中進行更改、隱藏和取消隱藏文件、查看和終止進程，以及執行操做系統命令。

除PoetRAT以外，攻擊者還被發現將其餘工具傳送到被入侵的系統中，包括那些經過電子郵件或FTP竊取數據的工具，經過他們的網絡攝像頭記錄受害者、記錄鍵盤點擊、從瀏覽器中竊取憑證、以及升級特權。

目前尚不清楚有多少次攻擊成功。阿塞拜疆政府發言人未迴應置評請求。

 

本文來源：天地和興