您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
盤點(diǎn):2020年電力行業(yè)典型網(wǎng)絡(luò)攻擊事件
【編者按】2020年,新冠疫情席卷全球,網(wǎng)絡(luò)攻擊事件頻發(fā),尤其是國(guó)家級(jí)網(wǎng)絡(luò)攻擊的強(qiáng)度和嚴(yán)重程度均出現(xiàn)飆升,以電力行業(yè)為代表的關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。電力行業(yè)是關(guān)鍵信息基礎(chǔ)設(shè)施重要組成部分,與現(xiàn)代社會(huì)生產(chǎn)生活緊密相聯(lián),不僅關(guān)系到民眾日常生活,同時(shí)還關(guān)系到其它關(guān)鍵信息基礎(chǔ)設(shè)施的能源保障,甚至對(duì)國(guó)家安全都影響深遠(yuǎn)。隨著電力行業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化程度越來越高,網(wǎng)絡(luò)攻擊對(duì)電力行業(yè)的安全運(yùn)營(yíng)造成了巨大威脅。除普通電廠外,核電廠也是網(wǎng)絡(luò)攻擊的重要目標(biāo),核電廠一旦被攻擊,可能會(huì)造成更加嚴(yán)重的災(zāi)難性后果。
一、典型事件
1、美國(guó)電力公司遭黑客攻擊事件
2月伊朗政府資助的黑客組織Magnallium針對(duì)美國(guó)電網(wǎng)基礎(chǔ)設(shè)施進(jìn)行了廣泛的的密碼噴射攻擊,并對(duì)美國(guó)的電力公司以及石油和天然氣公司的數(shù)千個(gè)賬戶使用通用密碼輪詢猜測(cè)。
2、美國(guó)馬薩諸塞州電力公司RMLD遭受勒索軟件攻擊事件
美國(guó)馬薩諸塞州電力公司雷丁市政照明部(RMLD)2月24日通知其客戶,其系統(tǒng)遭到勒索軟件攻擊,但對(duì)電力供應(yīng)沒有造成影響,也沒有發(fā)現(xiàn)存儲(chǔ)在第三方系統(tǒng)中的客戶財(cái)務(wù)數(shù)據(jù)因此事件而受到破壞。
RMLD稱其IT團(tuán)隊(duì)一直在努力隔離受感染的系統(tǒng)并刪除惡意軟件,還聘請(qǐng)了外部IT顧問來協(xié)助其工作。此外沒有提供任何關(guān)于勒索軟件類型的信息,也沒有說明它是如何出現(xiàn)在RMLD系統(tǒng)上的。RMLD表示客戶可以通過電話提出新的服務(wù)請(qǐng)求,并報(bào)告停機(jī)和服務(wù)問題。網(wǎng)上支付沒有受到事件的影響。盡管這可能是利益驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪分子發(fā)動(dòng)的攻擊,但在過去幾年中,北美的電力公司越來越多地受到政府支持的威脅組織的攻擊。
3、歐洲電力協(xié)會(huì)ENTSO-E遭受網(wǎng)絡(luò)攻擊事件
2020年3月9日,歐洲輸電系統(tǒng)運(yùn)營(yíng)商網(wǎng)絡(luò)(ENTSO-E)披露,惡意行為者破壞了其公司網(wǎng)絡(luò),ENTSO-E代表來自歐洲35個(gè)國(guó)家的42個(gè)輸電系統(tǒng)運(yùn)營(yíng)商(TSO)。TSO負(fù)責(zé)跨主要高壓網(wǎng)絡(luò)的電力傳輸,ENTSO-E與他們合作執(zhí)行能源政策并實(shí)現(xiàn)歐洲的能源和氣候政策目標(biāo)。該組織在一份簡(jiǎn)短的聲明中稱已經(jīng)進(jìn)行了風(fēng)險(xiǎn)評(píng)估,并且已經(jīng)制定了應(yīng)急計(jì)劃,以減少任何進(jìn)一步襲擊的風(fēng)險(xiǎn)和影響。ENTSO-E強(qiáng)調(diào)受影響的辦公網(wǎng)絡(luò)未連接到任何可運(yùn)行的TSO系統(tǒng),一些受影響的TSO已發(fā)布有關(guān)事件的聲明。此事件僅影響該組織與ENTSO-E之間的文件交換策略。但是由于這次攻擊,向電力供應(yīng)商和生產(chǎn)商發(fā)布能源識(shí)別代碼會(huì)有所延遲。
4、歐洲能源巨頭EDP公司遭勒索軟件攻擊事件
2020年4月13日,葡萄牙跨國(guó)能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊,贖金高達(dá)1090萬美金。攻擊者聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件,如果EDP不支付贖金,那么他們將公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄,攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息。目前針對(duì)Ragnar Locker勒索軟件加密文件尚無法解密。
5、委內(nèi)瑞拉國(guó)家電網(wǎng)干線遭攻擊事件
2020年5月5日,據(jù)報(bào)道,委內(nèi)瑞拉副總統(tǒng)羅德里格斯宣布消息,委內(nèi)瑞拉國(guó)家電網(wǎng)干線遭到攻擊,造成全國(guó)大面積停電。
羅德里格斯表示,國(guó)家電網(wǎng)的765干線遭到攻擊。這也是在委挫敗雇傭兵入侵委內(nèi)瑞拉數(shù)小時(shí)后發(fā)生的。除首都加拉加斯外,全國(guó)11個(gè)州府均發(fā)生停電。
6、英國(guó)電網(wǎng)管理者Elexon遭受網(wǎng)絡(luò)攻擊事件
2020年5月14日,英國(guó)電網(wǎng)重要的管理者Elexon確認(rèn),該系統(tǒng)受到網(wǎng)絡(luò)攻擊,但用于控制電力市場(chǎng)的關(guān)鍵系統(tǒng)并未受到影響。該公司在其網(wǎng)站上發(fā)布的一條短消息中表示,該事件僅影響其內(nèi)部IT網(wǎng)絡(luò)和員工筆記本電腦。
該公司的電子郵件服務(wù)器受到了影響,并已被刪除,從而使員工無法進(jìn)行關(guān)鍵通信。Elexon表示該事件并未影響英國(guó)的電力供應(yīng)。在后續(xù)發(fā)布的消息中,該公司稱已經(jīng)確定了事件的根本原因,并且正在努力恢復(fù)其內(nèi)部網(wǎng)絡(luò)和員工筆記本電腦。Elexon是英國(guó)電力市場(chǎng)上的關(guān)鍵角色。該公司管理電力供需,并根據(jù)需要在網(wǎng)絡(luò)中移動(dòng)電力。
7、歐洲電力公司Enel遭受勒索軟件Snake攻擊事件
2020年6月7日晚,歐洲能源公司Enel Group遭受了勒索軟件Snake攻擊,其內(nèi)部IT網(wǎng)絡(luò)中斷,所有連接已于6月8日凌晨安全恢復(fù)。該公司發(fā)言人表示,在防病毒系統(tǒng)檢測(cè)到勒索軟件之后,周日晚上,其內(nèi)部IT網(wǎng)絡(luò)中斷。為了預(yù)防起見,公司暫時(shí)隔離了公司網(wǎng)絡(luò),以進(jìn)行旨在消除任何殘留風(fēng)險(xiǎn)的所有干預(yù)措施。這些連接已在周一清晨安全恢復(fù)。與其配電資產(chǎn)和發(fā)電廠的遠(yuǎn)程控制系統(tǒng)有關(guān)的關(guān)鍵問題尚未發(fā)生,客戶數(shù)據(jù)也未公開給第三方。由于內(nèi)部IT網(wǎng)絡(luò)的暫時(shí)阻塞,客戶服務(wù)活動(dòng)可能會(huì)在有限的時(shí)間內(nèi)發(fā)生臨時(shí)中斷。
8、巴西電力公司遭Sodinokibi勒索軟件攻擊事件
2020年6月16日,巴西的電力公司Light S.A被黑客勒索1400萬美元的贖金,AppGate的安全研究人員分析認(rèn)為是Sodinokibi勒索軟件。Sodinokibi可在RaaS(勒索軟件即服務(wù))模式下使用,它可能由與Pinchy Spider(即GandCrab勒索軟件背后的組織)有聯(lián)系的威脅者操縱。同時(shí),研究人員還發(fā)現(xiàn)該軟件可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權(quán)。此外,該勒索軟件系列沒有全局解密器,這意味著需要攻擊者的私鑰才能解密文件。
9、印度查謨與克什米爾電力部門遭到惡意攻擊事件
2020年6月26日,印度查謨與克什米爾電力部門的數(shù)據(jù)中心服務(wù)器遭受惡意網(wǎng)絡(luò)攻擊。不僅導(dǎo)致該部門連續(xù)3天無法正常運(yùn)作,其網(wǎng)站與移動(dòng)應(yīng)用也被一并攻陷。
查謨與克什米爾電力部門IT團(tuán)隊(duì)的Neel Kamal Singh在采訪中表示,他們?cè)庥龅氖抢账鬈浖?,所有正式文件及?shù)據(jù)均被黑客加密。最終,黑客在攻擊中至少成功入侵了4臺(tái)服務(wù)器。
10、巴勒斯坦最大的私人電力公司遭受勒索軟件攻擊事件
2020年9月7日,巴基斯坦最大的電力供應(yīng)商K-Electric遭受了Netwalker勒索軟件攻擊,并從K-Electric竊取了未加密的文件。但尚未得知多少數(shù)據(jù)被盜。攻擊導(dǎo)致計(jì)費(fèi)和在線服務(wù)中斷。從9月7日開始,K-Electric的客戶無法訪問其賬戶的在線服務(wù)。勒索軟件運(yùn)營(yíng)商要求支付385萬美元的贖金。并威脅稱如果沒有在7天內(nèi)支付,贖金將增加到770萬美元。
11、印度孟買遭受大規(guī)模嚴(yán)重?cái)嚯娛录?/span>
2020年10月12日,印度孟買市遭遇前所未有的大范圍斷電,影響到該市數(shù)百萬人的通勤與正常生活。孟買全城停電近一天,直接導(dǎo)致鐵路運(yùn)營(yíng)癱瘓,股票交易所、醫(yī)療設(shè)施以及其它關(guān)鍵基礎(chǔ)設(shè)施全面遭遇風(fēng)險(xiǎn)。有報(bào)道稱,印度警方的網(wǎng)絡(luò)部門調(diào)查結(jié)果顯示,執(zhí)法機(jī)關(guān)檢測(cè)到供應(yīng)及傳輸設(shè)備服務(wù)器上存在多次“可疑”登錄,停電很可能源自國(guó)家支持的黑客攻擊活動(dòng)。
12、日本核監(jiān)管局(NRA)遭受網(wǎng)絡(luò)攻擊事件
2020年11月3日,日本核監(jiān)管局(NRA)稱其電子郵件系統(tǒng)可能因網(wǎng)絡(luò)攻擊而暫時(shí)關(guān)閉。該機(jī)構(gòu)在其網(wǎng)站上發(fā)布了警告,要求人們通過電話或傳真進(jìn)行聯(lián)系,因?yàn)樗鼰o法接收來自外界的電子郵件。當(dāng)局禁用了電子郵件系統(tǒng),并對(duì)該事件進(jìn)行了調(diào)查。據(jù)媒體報(bào)道,該事件對(duì)日本核電站的運(yùn)營(yíng)沒有影響。此次事件似乎是一個(gè)未知的外部政黨設(shè)法獲得對(duì)核監(jiān)管局網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問。該機(jī)構(gòu)未提供有關(guān)此事件的任何正式聲明。目前核監(jiān)管委員會(huì)與內(nèi)閣網(wǎng)絡(luò)安全中心等將持續(xù)跟進(jìn)調(diào)查,尋找原因并做好防護(hù)措施。
二、主要特點(diǎn)
一是勒索是主流攻擊手段。
勒索病毒是網(wǎng)絡(luò)攻擊最常見、最重要的攻擊手段。是一種發(fā)展最快、流行最廣的病毒,是眾所周知的安全隱患。針對(duì)電力系統(tǒng)的勒索病毒攻擊模式,逐漸成熟,主要以郵件、程序木馬、網(wǎng)頁掛馬等形式進(jìn)行傳播,該病毒危害極大,一旦被感染,將給用戶帶來無法估量的損失。被稱為安全業(yè)界最頭疼的軟件。安全機(jī)構(gòu)研究表示:勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長(zhǎng),并且目前大部分流行的勒索病毒是無法解密的。2020年又出現(xiàn)了專門針對(duì)工控領(lǐng)域的勒索病毒“必加”(Petrwrap),該病毒危害極大。監(jiān)測(cè)到的電力行業(yè)典型網(wǎng)絡(luò)攻擊事件中,一半以上都是勒索攻擊。
二是定向攻擊的專業(yè)程度高。
隨著網(wǎng)絡(luò)安全威脅從軟件向硬件發(fā)展,作為國(guó)家重點(diǎn)基礎(chǔ)設(shè)施的電網(wǎng)成為網(wǎng)絡(luò)攻擊第一線,成為國(guó)家之間網(wǎng)絡(luò)對(duì)抗及黑客定向攻擊的目標(biāo),多次成為被攻擊靶心。針對(duì)電力系統(tǒng)的定向攻擊模式也逐漸成熟,攻擊方式更加隱蔽、攻擊范圍高度擴(kuò)散、攻擊手段無所不用。利用電力系統(tǒng)的漏洞植入惡意軟件、遠(yuǎn)程訪問配電站控制系統(tǒng)、發(fā)送網(wǎng)絡(luò)攻擊干擾系統(tǒng)引起停電、干擾事故后維修工作等方式對(duì)電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊。還出現(xiàn)了定向直擊電網(wǎng)工控網(wǎng)絡(luò)攻擊武器“Lndustroyer”、“EKANS”和”Blacknergy”的惡意軟件,不僅能夠關(guān)閉電力設(shè)施中的關(guān)鍵系統(tǒng),還能讓黑客遠(yuǎn)程控制目標(biāo)系統(tǒng),專門攻擊重點(diǎn)基礎(chǔ)設(shè)施和戰(zhàn)略目標(biāo),對(duì)電力行業(yè)威脅極大。
三是影響大、損失難以估量。
電力系統(tǒng)是重點(diǎn)基礎(chǔ)設(shè)施的核心組成,是關(guān)乎國(guó)際民生的重點(diǎn)目標(biāo)。隨著電力系統(tǒng)安全面臨高危漏洞不斷暴露,網(wǎng)絡(luò)安全威脅與風(fēng)險(xiǎn)不斷加大,電力行業(yè)一旦遭受攻擊會(huì)帶來巨大的損失。因此,電力網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)所帶來的不僅僅是信息泄露,信息系統(tǒng)無法使用等“小”問題,而是對(duì)現(xiàn)實(shí)世界造成直接的實(shí)質(zhì)性的影響,如社會(huì)生產(chǎn)癱瘓、交通癱瘓、設(shè)備損壞、環(huán)境污染等,如果電力系統(tǒng)遭到侵害,可能會(huì)造成全盤崩潰,后果將是災(zāi)難性的,這是相當(dāng)可怕的。攻擊者自詡成功進(jìn)入一次,就可能導(dǎo)致電站乃至整套能源供應(yīng)鏈發(fā)生癱瘓,其中涵蓋天然氣、石油、汽油及供水系統(tǒng),可能造成人員傷亡、社會(huì)動(dòng)蕩等嚴(yán)重的災(zāi)難性后果。
隨著能源互聯(lián)網(wǎng)的發(fā)展以及IT/OT和IOT技術(shù)的融合發(fā)展,電力行業(yè)業(yè)務(wù)系統(tǒng)由原有的分割形態(tài)逐步向大融合方向發(fā)展。針對(duì)新技術(shù)新業(yè)務(wù)發(fā)展所帶來的安全風(fēng)險(xiǎn),電力行業(yè)需要從原有以隔離為主要手段的安全能力,逐步向保障安全運(yùn)營(yíng)的體系化安全能力發(fā)展。這就需要以技術(shù)、管理和運(yùn)營(yíng)的基礎(chǔ)安全需求入手,結(jié)合不同業(yè)務(wù)運(yùn)行特點(diǎn),通過安全編排、靈活適配與協(xié)同響應(yīng),保障企業(yè)全天候、全時(shí)域的生產(chǎn)安全和信息安全,形成貫穿全生命后周期的持續(xù)安全運(yùn)營(yíng)能力。(文章來源:天地和興)