您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
盤點:全球電力行業(yè)十大網(wǎng)絡(luò)安全攻擊事件
隨著電力行業(yè)對網(wǎng)絡(luò)的依賴程度越來越高,網(wǎng)絡(luò)攻擊對企業(yè)的安全運營造成巨大的威脅。電力系統(tǒng)與現(xiàn)代社會生產(chǎn)生活緊密相連,一旦出現(xiàn)斷電,后果將不堪設(shè)想。對電力行業(yè)的攻擊類型分為勒索病毒、DDoS攻擊、APT攻擊、漏洞、惡意軟件等。除普通的電力公司之外,核電廠也是網(wǎng)絡(luò)攻擊的重點目標(biāo),核電廠一旦被攻擊,可能會產(chǎn)生員工或商業(yè)秘密信息的丟失、反應(yīng)堆關(guān)閉或者實體的損壞等嚴(yán)重后果。
《安全內(nèi)參》對跟蹤到的電力行業(yè)網(wǎng)絡(luò)安全事件進行梳理,篩選出近三年比較有代表性的十個事件,為相關(guān)電力企業(yè)和監(jiān)管部門提供參考,防患于未然。
一、巴西電力公司遭Sodinokibi勒索軟件攻擊
2020年6月,巴西的電力公司Light S.A被黑客勒索1400萬美元的贖金,AppGate的安全研究人員分析認(rèn)為是Sodinokibi勒索軟件。Sodinokibi可在RaaS(勒索軟件即服務(wù))模式下使用,它可能由與Pinchy Spider(即GandCrab勒索軟件背后的組織)有聯(lián)系的威脅者操縱。同時,研究人員還發(fā)現(xiàn)該軟件可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權(quán)。此外,該勒索軟件系列沒有全局解密器,這意味著需要攻擊者的私鑰才能解密文件。
二、歐洲能源巨頭EDP公司遭勒索軟件攻擊
2020年4月,葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊,贖金高達1090萬美金。攻擊者聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件,如果EDP不支付贖金,那么他們將公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄,攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機密信息。目前針對Ragnar Locker勒索軟件加密文件尚無法解密。
三、印度核電站內(nèi)網(wǎng)感染惡意軟件
2019年9月,印度核電公司(the Nuclear Power Corporation of India Ltd,簡稱NPCIL)證實,印度泰米爾納德邦的Kudankulam核電站(簡稱KNPP)內(nèi)網(wǎng)感染了惡意軟件。據(jù)了解,該軟件由知名朝鮮黑客組織Lazarus開發(fā),屬于Dtrack后門木馬的變體。NPCIL的聲明顯示,Dtrack變體僅僅感染了核電站的管理網(wǎng)絡(luò),并未影響到用于控制核反應(yīng)堆的關(guān)鍵內(nèi)網(wǎng)。有報道指出,就在幾天前,該核電站意外關(guān)閉了一座反應(yīng)堆。雖然有關(guān)機構(gòu)極力否認(rèn)該事件和惡意軟件的入侵有關(guān),但時間上的巧合仍然讓人不可避免地將二者聯(lián)系在一起。
四、烏克蘭某核電廠發(fā)生重大網(wǎng)絡(luò)安全事故
2019年7月,位于烏克蘭南部的Yuzh-noukrainsk市附近的核電站出現(xiàn)嚴(yán)重安全事故,數(shù)名雇員將核電廠內(nèi)部網(wǎng)絡(luò)連上了公共網(wǎng)絡(luò),以供其挖掘加密貨幣。此次事故被列為國家機密泄露事故,調(diào)查人員已經(jīng)開始研究黑客是否可利用聯(lián)網(wǎng)設(shè)備入侵核電廠內(nèi)網(wǎng),并竊取機密信息。
五、委內(nèi)瑞拉電力系統(tǒng)兩年內(nèi)遭遇多次網(wǎng)絡(luò)攻擊導(dǎo)致大規(guī)模停電事故
2019年3月7日-3月9日,連續(xù)三天,委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊出現(xiàn)3次大范圍停電事件,全國大部分州都受到了影響。委政府官員指出,停電原因是古里水電站遭反對派蓄意破壞。
2019年7月,委內(nèi)瑞拉首都加拉加斯及10余個州再發(fā)生大范圍停電,地區(qū)供水和通信網(wǎng)絡(luò)也因此受到極大影響。停電原因與2019年3月的相同。
2020年3月,委內(nèi)瑞拉遭受嚴(yán)重停電,影響多個州和城市,導(dǎo)致互聯(lián)網(wǎng)連接中斷。
2020年5月,委內(nèi)瑞拉國家電網(wǎng)765干線遭攻擊,造成全國大面積停電。除首都加拉加斯外,全國11個州均發(fā)生停電。
六、南非約翰內(nèi)斯堡電力公司遭勒索軟件攻擊
2019年7月,南非最大的城市約翰內(nèi)斯堡發(fā)生了一起針對City Power電力公司的勒索軟件攻擊,導(dǎo)致若干居民區(qū)的電力中斷。該病毒加密了所有數(shù)據(jù)庫、應(yīng)用程序、Web Apps、以及官方網(wǎng)站。攻擊使得預(yù)付費用戶無法買電、充值、辦理發(fā)票,或訪問City Power的官方網(wǎng)站。根據(jù)網(wǎng)絡(luò)攻擊的類型和嚴(yán)重程度,受影響的服務(wù)和網(wǎng)絡(luò)的完全清理大概需要數(shù)周時間。
七、黑客利用思科防火墻中的已知漏洞針對美國電力公司發(fā)起拒絕服務(wù) (DoS) 攻擊
2019年3月,黑客利用思科防火墻中的已知漏洞針對美國猶他州的可再生能源電力公司發(fā)起了拒絕服務(wù) (DoS) 攻擊。事件影響了加利福尼亞州(克恩縣和洛杉磯縣)、猶他州(鹽湖縣)和懷俄明州(Converse County)。北美電力可靠性公司(NERC)在9月表示,該安全漏洞影響了受害者使用的防火墻的Web界面,攻擊者在這些設(shè)備上觸發(fā)了DoS條件,導(dǎo)致它們重新啟動。這導(dǎo)致該組織的控制中心和其各個站點的現(xiàn)場設(shè)備之間的通信中斷。
八、法國公司Ingerop遭網(wǎng)絡(luò)攻擊導(dǎo)致費森海姆核電站(Fessenheim)敏感數(shù)據(jù)泄露
2018年6月,黑客竊取了法國公司Ingerop逾65G文件,這些文件包括核電站計劃和千余名Ingerop工作人員的個人信息等內(nèi)容。部分文件與法國最早的核電站費森海姆核電站(Fessenheim)相關(guān),該核電站位于德國邊境,將于2022年關(guān)閉。若此類數(shù)據(jù)落入惡人之手,將把該核電站及公司員工置于恐怖主義陰謀等諸多威脅之下。
九、西門子設(shè)備存在嚴(yán)重漏洞,導(dǎo)致變電站易遭攻擊
2018年3月,研究人員發(fā)現(xiàn)西門子繼電保護設(shè)備存在多個嚴(yán)重漏洞,可導(dǎo)致變電站和其它供電設(shè)施易遭黑客攻擊。
高危漏洞 CVE-2018-4840可導(dǎo)致遠(yuǎn)程未經(jīng)認(rèn)證的攻擊者修改設(shè)備配置并覆寫訪問密碼。
中危漏洞 CVE-2018-4839可導(dǎo)致本地或網(wǎng)絡(luò)攻擊者通過攔截網(wǎng)絡(luò)流量或從目標(biāo)設(shè)備獲取數(shù)據(jù)的方式恢復(fù)訪問授權(quán)密碼。
高危漏洞 CVE-2018-4838可導(dǎo)致未經(jīng)認(rèn)證的攻擊者把設(shè)備上的固件降級為包含已知缺陷的版本。
十、俄黑客對美國核電站和供水設(shè)施攻擊事件
2018年3月,美國計算機應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A,詳細(xì)描述了俄羅斯黑客針對美國某發(fā)電廠的網(wǎng)絡(luò)攻擊事件。
通告稱俄黑客組織通過
(1)收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼;
(2)盜用合法賬號發(fā)送魚叉式釣魚電子郵件;
(3)在受信任網(wǎng)站插入JavaScrip或PHP代碼進行水坑攻擊;
(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;
(5)構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。
本次攻擊的主要目的是以收集情報為主,攻擊者植入了收集信息的程序,該程序捕獲屏幕截圖,記錄有關(guān)計算機的詳細(xì)信息,并在該計算機上保存有關(guān)用戶的信息。
電力行業(yè)是關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,不僅關(guān)系到民眾日常生活,同樣對工控領(lǐng)域、甚至對國家安全都影響深遠(yuǎn)。因此,重點加強電網(wǎng)設(shè)施的安全建設(shè)及電力企業(yè)內(nèi)部的安全防護顯得尤為重要。
當(dāng)前國際形勢日益嚴(yán)峻,對于像電力、石油、天然氣等關(guān)乎國家安全的能源行業(yè),加大信息技術(shù)應(yīng)用創(chuàng)新同樣至關(guān)重要。
文章來源:安全內(nèi)參