随着大数据、人工智能、5G等技术创新的发展,使得工业生产流程更加数字化、自动化、智能化和网络化,但随之而来,网络攻击正越来越多地转向电力、水利、电信等关键民用基础设施与国家工控系统。
工控系统遭到攻击,不仅可能引发故障停机,还会导致安全事故发生,甚至影响正常公共服务,给社会带来不可估量的损失。而且,工控系统承载着事关企业生产、社会经济乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁。
年末盘点,我们一起来回顾下过去2020年工控行业有哪些安全事件。
2月,美国国土安全部的网络安全和基础设施安全局发布公告, 一家未公开名字的天然气管道运营商,在遭到勒索软件攻击后关闭压缩设施达两天之久。据悉攻击从钓鱼邮件内的恶意链接发起, 从其IT网络渗透到OT网络, 勒索软件对IT和OT资产都造成了影响。为了排查问题并恢复运营,工作人员关闭了压缩设施两天,但由于管道传输的依赖性,与其相关联的其他压缩设施也连带受到了影响。
3月,钢铁制造商EVRAZ公司在北美分支机构,包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击,导致其在北美的分支机构瘫痪,大多数工厂都已停止生产。EVRAZ是全球最大的跨国垂直整合炼钢和采矿公司之一,该公司主要在俄罗斯运营,但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。
3月,旧金山湾区最大的机场SFO披露了一起数据泄露事件,起因是其两个网站http://SFOConnect.com和http://SFOConstruction.com遭遇网络攻击,黑客窃取了用户的Windows登录凭据。
旧金山国际机场提供北美各地的航班,通过12家国内航空公司直飞美国的86个城市。此外,SFO还是通向欧洲和亚洲的主要门户,通过45家国际航空公司飞往50多个国际城市。
4月,以色列国家网络局发布公告称,收到了多起针对废水处理厂、水泵站和污水管的入侵报告,因此各能源和水行业企业需要紧急更改所有联网系统的密码,以应对网络攻击的威胁。以色列计算机紧急响应团队(CERT) 和以色列政府水利局也发布了类似的安全警告,水利局告知企业“重点更改运营系统和液绿控制设备”的密码,因为这两类系统遭受的攻击最多。
4月,葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击者声称,已获取EDP公司10TB的敏感数据文件,并且索要了1580的比特币赎金(折合约1090万美元/990万欧元)。EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商,在全球四个大洲的19个国家/地区拥有业务。
5月,瑞士铁路机车制造商Stadler披露数据泄露,遭遇黑客窃取公司数据。攻击者确认,破坏了公司的IT网络,并在其中一些计算机上部署了恶意软件,这些恶意软件用于从受感染设备中窃取数据。该公司透露,入侵者要求支付大量赎金,并试图威胁要曝光被盗的数据,从而勒索施塔德勒。
6月,日本汽车制造商本田(Honda)表示,其服务器受到Ekans勒索软件攻击后,正在应对网络攻击。该事件正在影响公司在全球的业务,包括生产。在本田发布的声明中说:“本田可以确认本田网络发生了网络攻击。该问题正在影响其访问计算机服务器,使用电子邮件以及使用其内部系统的能力。此外对日本以外的生产系统也有影响。目前正在开展工作以最大程度地减少影响并恢复生产,销售和开发活动的全部功能。”
6月,巴西的电力公司Light S.A被黑客勒索1400万美元的赎金,安全研究人员分析认为是Sodinokibi勒索软件。Light SA表示,公司系统的系统被入侵,攻击者对所有Windows系统文件进行加密。该公司恶意软件分析团队可以访问可能在攻击中使用的二进制文件,并且能够确认该样本来自一个名为REvil的勒索软件家族。
7月,国外网络安全公司研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞,其中包含多个远程代码执行漏洞,统称为“Ripple20”。攻击者可以利用这些漏洞在无需用户交互的情况下,实现对目标设备的完全控制,该漏洞波及家用/消费设备、医疗保健、数据中心、电信、能源、交通运输以及许多其他关键基础框架。受影响的供应商包括财富500强企业:惠普、时代的电气、英特尔等,影响高达数亿的物联网设备,在整个供应链行业中产生连锁反应。
9月,全球第四大班轮公司达飞轮船(CMA CGM)官网瘫痪无法打开,旗下众多全球网站也都陷入了瘫痪。据知情人士透露,达飞轮船方面“只有部分邮箱可以使用,有部分邮箱被锁,遭到了黑客勒索”,类似于此前马士基所遭遇的网络劫持。
9月,顶象洞见安全实验室发现西门子多款工业交换机存在高危漏洞,并第一时间上报CNNVD和CNVD。利用这些高危漏洞,攻击者能够远程窃取网络传输的工控指令、账户密码等敏感信息,或者发动中间人攻击,使得整个网络如同裸奔。同时,黑客可以直接对联网工控设备下达停止、销毁、开启、关闭等各种指令,甚至在网络内植入木马病毒,直接关停网内生产设备。据统计,至少有17款西门子款设备受影响。
11月,特斯拉一直以其所谓的“空中更新”(OTA)而自豪,自动推出新代码来修复漏洞并增加功能。但有一位安全研究人员展示了特斯拉ModelX无钥匙进入系统中存在的严重漏洞,黑客可以通过这一漏洞利用蓝牙连接重写车辆钥匙卡的固件,从钥匙卡上获取车辆解锁代码,并在几分钟内用它窃取一辆Model X。