作者 | 何跃鹰,孙中豪

石油天然气行业作为重要的关键基础设施行业,关系国计民生命脉,但也正面临着越来越多的网络安全风险。本文尽可能完整地搜集整理了近年来发生在石油天然气行业的网络安全事件,通过时间顺序、地域分布、被攻击系统和攻击手段等方式分类,一方面是期望能一定程度的提升行业参与者的网络安全意识,另一方面是期望以编年体的方式呈现行业网络攻击的演化规律。

通过对所搜集的21起石油天然气行业网络安全事件的分析,至少有以下三点结论是可以确定的:

一、和平时期面向石油天然气行业的网络攻击以勒索软件为主,但国家对抗状态下拒绝服务攻击明显增多。在全部21起攻击中,勒索软件占到8起。在俄乌冲突爆发的2022年,统计到的6起石油行业网络安全事件全部发生在欧洲;2022年之外的其他年份,在发生15起针对石油天然气行业的网络安全事件中,欧洲只占到4起。黑客组织明确声明因政治军事因素发动的网络攻击一共6起,都是拒绝服务或者数据窃取,反而没有一个是勒索攻击。

二、被攻击系统涵盖行业上下游各个环节,但以直接面向用户的系统居多。在所有的统计中,被攻击系统包括了网站、加油站、炼油产、石油管道、SIS系统、SCADA、云服务、办公系统、网络安全设备、油轮、石油港口设备、数据中心、APP等。但是针对加油站、网站、IT服务等直接面向用户的系统攻击占到了67%。

三、一旦网络攻击影响到正常业务开展,影响范围和影响程度将超出企业控制。例如,2021年5月,美国最大的成品油管道系统科洛尼尔管道(Colonial Pipeline)遭到攻击,迫使该公司关闭了5500英里长的管道,美国汽油期货上涨一度超4%。2023年12月,黑客攻击导致伊朗全国70%的加油站服务中断,这次网络攻击对首都德黑兰造成了重大影响。

附表:近年来石油天然气行业网络安全时间汇总

2017年5月,WannaCry 勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。其中包括巴西国有石油公司Petrobras和西班牙天然气公司。据报道,这两家公司关闭了计算机作为应对网络攻击的措施。国内也有中石油加油站遭到攻击,其支付系统被攻击后顾客被迫通过现金支付。

2017年12月,全球最大的石油公司沙特阿美遭到TRITON病毒攻击而导致安全仪表系统被迫关闭。这种名为TRITON(也被称为trisis或Hatman)的病毒,利用了施耐德电气的关键安全系统之一Triconex的漏洞,是全球首个面向工控安全仪表系统的病毒,通过与SIS系统的直接通信交互,超越了其他工业网络攻击。SIS系统是工业设施自动化安全防护的最后一道防线,该系统旨在防止设备故障和爆炸或火灾等灾难性事件。Triton可对安全仪表系统逻辑进行重编辑,使安全仪表系统产生意外动作,对正常生产活动造成影响;可使安全仪表系统失效,在发生安全隐患或安全风险时无法及时实行和启动安全保护机制,从而对生产活动造成影响;还可以对DCS实施攻击,并通过安全仪表系统与DCS的联合作用,对工业设备、生产活动及人员健康造成影响。

2020年1月,乌克兰能源勘探生产公司 Burisma Holdings遭到定向钓鱼攻击。Burisma Holdings 是一家位于乌克兰基辅的能源勘探和生产公司。在 2019 年 11 月初开始的定向网络钓鱼攻击中,攻击者通过窃取 Burisma Holdings 及其下属子公司和合作伙伴公司员工的电子邮件凭证,利用电子邮件账户中的数据以及操作权限进行网络钓鱼活动。为了确保了钓鱼活动的成功,攻击者将使用的木马伪装成 Burisma Holdings 常用业务相关应用程序,以迷惑 Burisma Holdings 员工。对这场针对 Burisma Holdings 的攻击活动的战术、技术和过程(TTP)进行分析发现,攻击者专注于仿冒凭据,主要在 Ititch、NameSilo、namebeach 和 Yandex 注册恶意域名。

2020年4月,Agent Tesla间谍软件被用于针对能源行业的鱼叉攻击。攻击者利用精心伪造的电子邮件投递 Agent Tesla 间谍软件。Agent Tesla 间谍软件自 2014 年以来不断改进和更新,可通过公开渠道购买。3 月 31 日,攻击者以埃及国有石油公司 Enppi 之名发送电子邮件,邮件中邀请收件方为某真实存在的项目设备和材料投标,并标明投标截止日期。对了解该项目的石油和天然气行业人士而言,极易被引诱打开邮件中用于投递 Agent Tesla 间谍软件的恶意附件,该间谍软件会收集各种类型的凭据等敏感信息,受害国家包括马来西亚,伊朗和美国。第二次攻击发生在 4 月 12 日,攻击者以某油轮之名向收件人索要预估港口使用费等信息,该油轮真实存在,受害者大部分为菲律宾的货运公司。

2020年4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,攻击者索要1580比特币赎金(折合约1090万美元/990万欧元)。在这次攻击过程中,Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

2020年6月,全球最大的石油和天然气公司之一雪佛龙公司(Chevron Corporation)遭到Ekans 勒索软件攻击,虽然攻击细节并未公开,但据信攻击者通过利用VPN 软件中的漏洞获取了雪佛龙的系统访问权限。EKANS是一种用Go编程语言编写的混淆勒索软件变体,攻击目标已经覆盖了能源(巴林石油、ENEL能源)、汽车制造(本田汽车)、医疗设备经销等多个工业行业,打击工业控制系统已成为其重要目的。

2021年3月,能源巨头壳牌公司(Shell)遭遇黑客攻击,导致数据泄露。攻击者利用安全厂商Accellion的文件传输程序FTA的零日漏洞,访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。壳牌公司使用FTA来“安全地”传输大文件。该公司在网站上发表的一份公开声明中披露了这起攻击事件,并表示这起事件只影响了Accellion FTA设备,该设备用于安全传输大数据文件。“由于文件传输服务与壳牌数字基础设施的其他部分是隔离的,因此没有证据表明壳牌的核心IT系统受到任何影响。”

2021年4月,美国新英格兰最大的能源供应商-Eversource遭遇数据泄露。Eversource拥有超过6,459英里的天然气管道。此前客户的个人信息在一个不安全的云服务器上被曝光。Eversource向客户发出警告,一个不安全的云存储服务器暴露了他们的姓名、地址、电话号码、社会安全号码、服务地址和帐户号码。该问题源自Eversource在3月16日进行的一次安全检查,他们发现一个“云数据存储文件夹”配置错误,导致任何人都可以访问其中的内容。

2021年5月,美国最大的成品油管道系统:科洛尼尔管道(Colonial Pipeline)遭到名为Darkside的黑客组织的勒索攻击。Darkside入侵科洛尼尔管道运输公司的网络后,获取了大量数据,并以此威胁要求440万美元赎金,迫使该公司关闭了5500英里长的管道,并且关闭某些系统以便避免继续遭受攻击。受到成品油管道关闭的消息影响,国际油价一度波动加剧,美国汽油期货上涨一度超4%。Colonial Pipeline 公司作为美国最大的燃油/管道商,发生严重网络安全事件后,进行了快速的应急响应处理,通过相应措施避免二次损害,但是仍然可以看出该公司的 IT 和 OT 网络没有绝对隔离是导致事件危害规模巨大的主要因素。

2022年1月,黑客攻击欧洲港口石油设施,因遭到勒索软件的攻击,位于荷兰阿姆斯特丹和鹿特丹、比利时安特卫普的几处港口的石油装卸和转运受阻。截至当地时间2月4日,至少有7艘油轮被迫在安特卫普港外等候,无法靠港,油价已飙至7年新高。

2022年3月,国际黑客组织“匿名者”(Anonymous)声称入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据,尽管该公司的系统受到了影响,但公司的业务或供应状况暂未受到影响。Rosneft Deutschland GmbH在过去三年中负责向德国进口约四分之一的原油。黑客团体表示攻击的起因源于俄罗斯对乌克兰的入侵,以及对该公司的运作、德国前总理格哈德·施罗德与普京的关系感到不满。

2022年3月,东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,影响到了公司大部分IT服务,官网、APP全部下线,顾客只能使用现金和刷卡支付。据悉,攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受到影响。

2022年4月,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭。该网站上有一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明,这份声明中对俄罗斯向乌克兰派遣数千名士兵的决定发表了批评言论,随后该网站就被迫停止运营。

2022年7月,立陶宛能源公司Ignitis Group遭受了十年来最大的网络攻击,大量分布式拒绝服务(DDoS)攻击破坏了其数字服务和网站。随后,亲俄罗斯的黑客组织Killnet在其Telegram频道表示对此次攻击负责,这也是该组织在立陶宛发起的一系列攻击中的最新一次,原因是该国在与俄罗斯的战争中支持乌克兰。

2022年7月,勒索软件组织ALPHV声称对卢森堡天然气管道和电力网络运营商Creos 遭受的网络攻击负责。Creos的母公司Encevo在五个欧盟国家经营能源业务,该公司于7月25日宣布,他们在7月22日至23日遭受了网络攻击。虽然网络攻击导致Encevo和Creos的客户门户站点不可用,但所提供的服务并未中断。

2023年6月,加拿大石油巨头被黑影响全国加油站:支付或瘫痪,仅支持现金。加拿大石油公司(Petro-Canada)位于全国各地的加油站受到技术故障影响,客户无法使用信用卡或奖励积分支付油费。故障原因是母公司森科能源遭遇网络攻击。森科能源表示已采取措施应对此次攻击,并通报有关部门。在事件解决之前,公司与客户和供应商的交易将受到负面影响。

2023年8月,以色列最大炼油厂遭黑客攻击网站无法访问。以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区无法访问,攻击者声称黑掉了该集团的网络系统。伊朗黑客宣称在周末攻击了BAZAN的网络,并泄露了BAZAN的SCADA系统的屏幕截图,这些系统用于监控和操作工业控制系统,其中包括“火炬气回收装置”、“胺再生”系统、石化“分流器部分”的图表和PLC代码。

2023年8月,俄罗斯黑客组织袭击乌克兰,致200多家加油站深夜瘫痪。KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突。

2023年11月,勒索软件组织BlackCat(ALPHV)将台湾中国石油化学工业开发股份有限公司(中石化、CPDC)添加到其Tor泄露网站的受害者名单中。该泄露涉及的数据大小为41.9GB。

2023年12月,黑客攻击导致伊朗全国加油站业务中断。据路透社报道,网络攻击造成了伊朗全国范围内的加油站业务中断,导致伊朗全国70%的加油站服务中断。这次网络攻击对首都德黑兰造成了重大影响,许多加油站被迫手动操作,亲以色列的黑客组织“Predatory Sparrow“(波斯语为Gonjeshke Darande)声称对此次攻击负责。

2024年1月25日,乌克兰国家石油天然气公司(Naftogaz)当天发布消息称,该公司一个数据中心遭受了大规模网络攻击。公司网站和呼叫中心无法运行。乌克兰国有石油天然气股份公司是乌克兰最大的企业之一,欧洲市场上可靠的天然气供应商,也是国内燃料和能源领域的龙头企业,自1998年开始向居民、企业和国家机构供应天然气和石油产品。

声明:本文来自CNCERT国家工程研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。