随着电力行业对网络的依赖程度越来越高,网络攻击对企业的安全运营造成巨大的威胁。电力系统与现代社会生产生活紧密相连,一旦出现断电,后果将不堪设想。对电力行业的攻击类型分为勒索病毒、DDoS攻击、APT攻击、漏洞、恶意软件等。除普通的电力公司之外,核电厂也是网络攻击的重点目标,核电厂一旦被攻击,可能会产生员工或商业秘密信息的丢失、反应堆关闭或者实体的损坏等严重后果。

《安全内参》对跟踪到的电力行业网络安全事件进行梳理,筛选出近三年比较有代表性的十个事件,为相关电力企业和监管部门提供参考,防患于未然。

一、巴西电力公司遭Sodinokibi勒索软件攻击

2020年6月,巴西的电力公司Light S.A被黑客勒索1400万美元的赎金,AppGate的安全研究人员分析认为是Sodinokibi勒索软件。Sodinokibi可在RaaS(勒索软件即服务)模式下使用,它可能由与Pinchy Spider(即GandCrab勒索软件背后的组织)有联系的威胁者操纵。同时,研究人员还发现该软件可以通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外,该勒索软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密文件。

二、欧洲能源巨头EDP公司遭勒索软件攻击

2020年4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,赎金高达1090万美金。攻击者声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。目前针对Ragnar Locker勒索软件加密文件尚无法解密。

三、印度核电站内网感染恶意软件

2019年9月,印度核电公司(the Nuclear Power Corporation of India Ltd,简称NPCIL)证实,印度泰米尔纳德邦的Kudankulam核电站(简称KNPP)内网感染了恶意软件。据了解,该软件由知名朝鲜黑客组织Lazarus开发,属于Dtrack后门木马的变体。NPCIL的声明显示,Dtrack变体仅仅感染了核电站的管理网络,并未影响到用于控制核反应堆的关键内网。有报道指出,就在几天前,该核电站意外关闭了一座反应堆。虽然有关机构极力否认该事件和恶意软件的入侵有关,但时间上的巧合仍然让人不可避免地将二者联系在一起。

四、乌克兰某核电厂发生重大网络安全事故

2019年7月,位于乌克兰南部的Yuzh-noukrainsk市附近的核电站出现严重安全事故,数名雇员将核电厂内部网络连上了公共网络,以供其挖掘加密货币。此次事故被列为国家机密泄露事故,调查人员已经开始研究黑客是否可利用联网设备入侵核电厂内网,并窃取机密信息。

五、委内瑞拉电力系统两年内遭遇多次网络攻击导致大规模停电事故

  • 2019年3月7日-3月9日,连续三天,委内瑞拉电力系统遭到网络攻击出现3次大范围停电事件,全国大部分州都受到了影响。委政府官员指出,停电原因是古里水电站遭反对派蓄意破坏。

  • 2019年7月,委内瑞拉首都加拉加斯及10余个州再发生大范围停电,地区供水和通信网络也因此受到极大影响。停电原因与2019年3月的相同。

  • 2020年3月,委内瑞拉遭受严重停电,影响多个州和城市,导致互联网连接中断。

  • 2020年5月,委内瑞拉国家电网765干线遭攻击,造成全国大面积停电。除首都加拉加斯外,全国11个州均发生停电。

六、南非约翰内斯堡电力公司遭勒索软件攻击

2019年7月,南非最大的城市约翰内斯堡发生了一起针对City Power电力公司的勒索软件攻击,导致若干居民区的电力中断。该病毒加密了所有数据库、应用程序、Web Apps、以及官方网站。攻击使得预付费用户无法买电、充值、办理发票,或访问City Power的官方网站。根据网络攻击的类型和严重程度,受影响的服务和网络的完全清理大概需要数周时间。

七、黑客利用思科防火墙中的已知漏洞针对美国电力公司发起拒绝服务 (DoS) 攻击

2019年3月,黑客利用思科防火墙中的已知漏洞针对美国犹他州的可再生能源电力公司发起了拒绝服务 (DoS) 攻击。事件影响了加利福尼亚州(克恩县和洛杉矶县)、犹他州(盐湖县)和怀俄明州(Converse County)。北美电力可靠性公司(NERC)在9月表示,该安全漏洞影响了受害者使用的防火墙的Web界面,攻击者在这些设备上触发了DoS条件,导致它们重新启动。这导致该组织的控制中心和其各个站点的现场设备之间的通信中断。

八、法国公司Ingerop遭网络攻击导致费森海姆核电站(Fessenheim)敏感数据泄露

2018年6月,黑客窃取了法国公司Ingerop逾65G文件,这些文件包括核电站计划和千余名Ingerop工作人员的个人信息等内容。部分文件与法国最早的核电站费森海姆核电站(Fessenheim)相关,该核电站位于德国边境,将于2022年关闭。若此类数据落入恶人之手,将把该核电站及公司员工置于恐怖主义阴谋等诸多威胁之下。

九、西门子设备存在严重漏洞,导致变电站易遭攻击

2018年3月,研究人员发现西门子继电保护设备存在多个严重漏洞,可导致变电站和其它供电设施易遭黑客攻击。

  • 高危漏洞 CVE-2018-4840可导致远程未经认证的攻击者修改设备配置并覆写访问密码。

  • 中危漏洞 CVE-2018-4839可导致本地或网络攻击者通过拦截网络流量或从目标设备获取数据的方式恢复访问授权密码。

  • 高危漏洞 CVE-2018-4838可导致未经认证的攻击者把设备上的固件降级为包含已知缺陷的版本。

十、俄黑客对美国核电站和供水设施攻击事件

2018年3月,美国计算机应急准备小组发布了一则安全通告TA18-074A,详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。

通告称俄黑客组织通过

(1)收集目标相关的互联网信息和使用的开源系统的源代码;

(2)盗用合法账号发送鱼叉式钓鱼电子邮件;

(3)在受信任网站插入JavaScrip或PHP代码进行水坑攻击;

(4)利用钓鱼邮件和水坑攻击收集用户登录凭证信息;

(5)构建基于操作系统和工业控制系统的攻击代码发起攻击。

本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户的信息。

电力行业是关键基础设施的重要组成部分,不仅关系到民众日常生活,同样对工控领域、甚至对国家安全都影响深远。因此,重点加强电网设施的安全建设及电力企业内部的安全防护显得尤为重要。

当前国际形势日益严峻,对于像电力、石油、天然气等关乎国家安全的能源行业,加大信息技术应用创新同样至关重要。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。