工业控制系统安全是国家关键信息基础设施安全的重要组成部分。随着工业控制系统发展空间不断增大,工控网络安全高危漏洞与日俱增,暴露互联网上的工控系统及设备有增无减,攻击难度逐渐降低,工控行业网络安全事件日益增多。工业控制系统网络安全的威胁与挑战也日益严峻。以下总结了2019年以来重大工控行业网络安全事件。

重大事件回顾

制冷控制系统曝出严重安全缺陷,影响全球众多医院超市

2月8日报道,英国安全研究人员发现苏格兰远程监控系统产商(Resource Date Management)研发的制冷控制系统存在重大安全缺陷,波及全球多家连锁超市、医疗机构约7400套制冷设备。攻击者可在互联网扫描发现暴露在网络中的制冷控制系统及其Web管理页面,进而使用默认账号密码登录系统后台,通过修改制冷系统的温度、告警阈值等参数,影响设备正常运行。

委内瑞拉古里水电站遭网络攻击

3月7日,委内瑞拉最大的电力设施古里水电站计算机系统控制中枢遭受到网络攻击,引发全国性大面积停电,约3000万人口受到影响;7月22日,委内瑞拉古里水电站再次遭到攻击,导致包括委内瑞拉首都加拉加斯在内的16个州发生大范围停电。以上2起安全事件不排除与网络攻击有关。

铝业巨头海德鲁公司遭勒索病毒攻击,多条生产线停产

3月22日上午,世界炼铝巨头挪威海德鲁公司(Norsk Hydro)发布公告称,旗下多家工厂受到一款名为LockerGoga的勒索病毒攻击,数条自动化生产线被迫停运。据悉,勒索病毒最初感染了该公司美国分公司的部分办公终端,随后快速蔓延至全球内部办公网络,部分工厂的生产控制网络因缺乏边界防护措施遭受病毒入侵。海德鲁公司在挪威国家安全局及合作伙伴帮助下采取隔离感染设备的方式遏制病毒传播,但因病毒传播途径和感染的整体情况不易明确,全面恢复时面临了巨大困难。

日本制造企业Hoya感染挖矿病毒被迫停产三天

4月9日,日本最大的光学产品生产商Hoya公司称,他们位于泰国的工厂曾在2月底遭受了一次严重的网络攻击,工厂生产线因此停摆三天。网络攻击发生后,一台负责生产控制的主机服务器被病毒入侵后首先宕机,导致工厂用来管理订单和生产的软件无法正常运行,随后病毒在厂区继续蔓延,相继感染网络中的100余台终端设备,导致Hoya公司大量系统登录ID和密码被黑客窃取。据悉,网络攻击持续三天后,才逐步恢复,期间黑客还曾尝试劫持厂区所有主机用以挖掘加密货币,但均未成功。

多位美政府前任高官宣称美国正在入侵俄罗斯电网

6月15日晚间《纽约时报》发表报道称,多名前任和现任美国政府官员表示,美国已开展对俄罗斯电网系统的网络攻击。早在2012年,美国就已将侦察探测器植入俄罗斯电网的控制系统,展开侦察活动。2018年夏末,美国国会通过的《2019财年国防授权法案》中指出,国防部长有权在网络空间进行秘密军事活动和行动,以威慑、保护或防御针对美国的攻击或恶意网络攻击。此外,美国土安全部和联邦调查局也声称,俄罗斯同样对美国电厂、油气管道系统或供水系统内植入恶意代码,以备战时启用。两国互置恶意代码进行网络攻击的行为再次凸显了,电网已成为在线攻击的首要目标,是当今网络战的前沿阵地和主战场。

世界最大飞机零部件供应商遭勒索攻击,多条生产线停产

6月,世界上最大的飞机零部件供应商之一ASCO公司,位于比利时扎芬特姆的工厂IT系统遭勒索病毒感染,该公司随即关闭了位于德国、加拿大和美国的工厂以防止勒索软件扩散。ASCO公司未向社会公布具体的攻击细节,也尚不清楚该公司是否通过支付赎金从而恢复受攻击的信息系统,或者是否购买了新系统,开始重建其计算机网络。

南非电力公司遭勒索病毒攻击导致电费无法正常缴纳

7月,南非约翰内斯堡的City Power电力公司遭受勒索病毒攻击,该公司的应用程序、数据库都被黑客进行了恶意加密,导致对外服务基本陷入瘫痪,居民无法通过网上缴费系统购买电力,供电被迫中断。事故发生后,该公司组织大量技术人员修复了部分关键业务系统,受影响居民通过在线缴费恢复了电力供应。

乌克兰某核电厂发生严重网络安全事故

8月24日,乌克兰国家安全局在南乌克兰核电厂内部逮捕了一批以盗用站内电能来获取数字货币的工作人员及军方驻守人员。据悉,该团伙利用众多未经授权使用的显卡、硬盘等计算机零部件及光纤、网线等通信器材,在核电站中搭建了一个可以访问互联网的小型局域网,严重破坏了核电站的网络防护安全,并导致核电站物理保护系统的机密信息惨遭泄露。

美国某电力系统因防火墙漏洞被攻击致运行中断

9月5日,美国电力可靠性公司在其网站“经验教训”专栏中发布文章称,美国西部某电力公司曾因边界防火墙遭网络攻击,导致其控制中心与多个发电厂之间的通信发生中断。据悉,该电力公司使用的防火墙固件中存在安全漏洞,攻击者可远程发起攻击,导致目标设备不断重启,中断网络通信。

印度核电站官方证实其遭受网络攻击

10月30日,印度核电公司官方证实,库丹库拉姆核电站感染来自朝鲜政府资助的黑客组织开发的恶意软件,导致该核电站的域控服务器被控制,第二座核电机组停止运行。据悉,该恶意软件于今年9月4日前就已被发现其针对印度核电厂的网络攻击活动,主要用于侦察以及作为其他恶意软件有效载荷的投递器,其样本中包括该核电站内部网络硬编码凭据,证明该恶意软件经过专门编译以在电厂的IT网络内部传播和运行。

英国某核电站疑似遭受重大网络攻击

12月2日,《每日邮报》报道称, 法国电力集团公司旗下某英国核电站今年3月份疑似遭到网络攻击,尝试恢复系统未果后向英国国家网络中心(NCSC)寻求技术支援。据推测,攻击者疑似入侵了该电站内部网络,并可能获取到极高的系统控制权限,导致其无法通过隔离受害主机并批量重装系统的方式恢复业务,只能寻求国家级网络应急管理机构的支援。

本文作者:全球能源互联网研究院有限公司 张道娟

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。