2021年9月1日,中国《关键信息基础设施安全保护条例》正式施行,标志着国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键信息基础设施安全,已成为当今世界各国网络空间安全制度建设的核心内容和基本实践。
2022年11月7日,我国关键信息基础设施安全保护要求国家标准(GB/T39204-2022)发布,这是我国第一项关键信息基础设施安全保护的国家标准,将于2023年5月1日起实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。
回顾2022年,关键信息基础设施面临的网络安全形势依旧严峻,网络攻击威胁不断上升,事故隐患易发多发。部分企业工控系统存在漏洞、年久失修、防御薄弱等问题,使得网络攻击频发,病毒传播肆虐,工控系统网络安全现状令人忧思。
本文GoUpSec将带领大家回顾一下2022年全球发生的工控安全攻击事件,让大家能够了解到工业控制系统目前所面临的安全威胁,意识到工控安全的重要性,居安思危、未雨绸缪,才能保证工业控制系统健康稳定地运行。
1月
黑客攻击欧洲港口石油设施
黑客组织勒索攻击铁路关基设施,试图谋求政治诉求
“白俄罗斯网络游击队”黑客团伙宣称,成功入侵并加密了白俄罗斯国家铁路公司内部服务器,以此要挟释放部分政治犯,并希望俄罗斯撤军;白俄罗斯铁路官网发出警告,公司的参考网络资源、电子旅行证件签发服务暂不可用。
台达电子遭Conti勒索软件攻击
德国主要燃料储存供应商遭网络攻击
北美天然气巨头也遭勒索关键基设再敲警钟
SuperiorPlus是最新一家遭受勒索软件攻击的石油和天然气公司。今年早些时候对殖民地管道的类似袭击一度导致美国东海岸的燃料短缺。SuperiorPlus表示已采取措施保护其系统,并聘请独立的网络安全专家来减轻勒索软件攻击对其数据和运营的影响。
黑客邮寄恶意U盘攻击美国国防公司
联邦调查局(FBI)在最近更新的紧急警报中警告美国公司,出于经济动机的FIN7网络犯罪组织正在通过包含恶意USB设备的软件包瞄准美国国防工业。攻击者正在邮寄包含带有LilyGO标志的“BadUSB”或“BadBeetleUSB”设备的包裹,这些设备通常在网络上出售。
2月
国际航港巨头遭勒索软件攻击:运营受干扰航班延误
全球航港巨头瑞士空港日前披露了一起勒索软件攻击,因IT基础设施与服务受到影响,导致运营被干扰。
英伟达和三星遭黑客攻击
据外媒报道,距Lapsus$从Nvidia那里窃取1TB机密数据还未过几日(黑客威胁英伟达解除挖矿锁,否则泄露源代码等机密数据),该黑客组织又发布了窃取自韩国电子巨头三星的190GB机密数据,其中包含生物识别解锁算法及各类源代码。
丰田汽车遭遇网络攻击
丰田(Toyota)官方网站消息,丰田在日本国内的所有工厂(共计14家工厂,28条生产线)已经全部停工。原因是其国内供应商“小岛冲压工业株式会社”遭到了网络攻击。此次黑客攻击的服务器上,存储有近310万丰田用户的信息,包括了用户姓名、地址、出生日期、身份信息和就业方面的敏感信息,黑客获取的信息主要是来自东京的经销商,也可能包括日本之外的消费者的信息。
沃达丰5G网络遭黑客攻击,导致葡萄牙全国断网
FBI警报:美国关键基础设施正遭受BlackByte勒索软件入侵
FBI表示,截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体。其重要手段是利用软件漏洞(如Exchange)获取目标企业网络的初始访问权限。尽早更新服务器软件有望阻遏他们的攻势。
物流巨头Expeditors疑遭勒索软件攻击,全球业务关闭
总部位于西雅图的物流和货运代理公司ExpeditorsInternational遭到勒索软件攻击,迫使该组织关闭其全球大部分业务。该公司正在与其运营商和服务提供商一起寻找解决方案,以尽量减少对客户的影响,但没有估计何时恢复运营。
普利司通遭遇网络攻击部分业务中断
3月
东欧大型加油站服务商遭勒索软件攻击
东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,公司大部分IT服务、官网、APP全部下线,用户只能使用现金和刷卡支付。攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受影响。此次攻击是Hive勒索软件组织所为,要求其支付200万美元赎金,以换取解密器。
德国风电整机制造商巨头遭受网络攻击
德国风电整机制造商巨头Enercon表示遭受网络攻击,此次欧洲卫星通信受到大规模中断,直接影响了中欧和东欧近6000台,装机容量总计11GW的风力发电机组失去远程控制。
黑客入侵俄罗斯能源巨头位于德国的子公司
据Securityaffairs网站消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司RosneftDeutschlandGmbH,并从中窃取了20TB的数据。
俄罗斯管道巨头Transneft遭攻击
DistributedDenialofSecrets发布了一个79GB的电子邮件链接,这些电子邮件来自Transneft的研发部门Omega公司。Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被禁止接受来自美国市场的投资。
汽车巨头DENSO遭到新Pandora勒索软件袭击
白俄罗斯铁路遭到Anonymou入侵
据媒体报道,黑客团伙Anonymou声称已入侵白俄罗斯铁路的内部网络,并关闭所有服务。目前,网站pass.rw.by、portal.rw.by、rw.by仍无法访问,且该国铁路系统被迫转为手动控制模式,这对列车的运营产生了极大的影响。几日前,Anonymous还入侵了白俄罗斯的武器制造商Tetraedr,并窃取了约200GB的电子邮件。
4月
研究人员发现罗克韦尔PLC存在两个高危漏洞
Claroty的Team82和罗克韦尔自动化研究人员在罗克韦尔(Rockwell)可编程逻辑控制器(PLC)和工程工作站软件中发现了两个安全漏洞。攻击者可远程利用这些漏洞,修改自动化流程,破坏工厂运营,对工厂造成物理损坏,或采取其他恶意行为。
德国风机制造商在遭受网络攻击后关闭IT网络
德国风力涡轮机制造商在3月31日遭受网络攻击后,被迫关闭多个地点和业务部门的IT系统。风力涡轮机制造商维斯塔斯去年11月遭到勒索软件攻击,攻击背后的组织最终威胁要泄露窃取的数据。与Nordex一样,该公司不得不关闭其跨多个业务部门和地点的IT系统,以阻止问题蔓延。
加拿大航空公司阳翼航空遭到网络攻击
乌克兰某能源公司遭恶意软件攻击
Industroyer2是ICS恶意软件Industroyer的新变体,后者曾在2016年被用于中断乌克兰的电力供应。此外,攻击者还使用了针对Linux和Solaris系统的Orcshred、Soloshred和Awfulshred等恶意软件。目前,攻击者入侵目标以及攻击行为从IT系统转移到工业控制系统(ICS)的方式尚不明确。
俄罗斯石油巨头GazpromNeft网站遭黑客攻击
俄罗斯国家天然气公司GazpromNeft的石油部门GazpromNeft网站因遭黑客攻击而被迫关闭。GazpromNeft是俄罗斯第三大石油生产商,是俄罗斯天然气工业股份公司的子公司。
5月
黑客10秒无钥匙开走特斯拉:重大漏洞曝出
很多特斯拉车主都已习惯不带钥匙用手机解锁车辆,但最近一位网络安全研究人员已经展示了「无钥匙进入」把电动汽车开走的技术,新的漏洞为人们敲响了警钟。
加拿大空军关键供应商遭勒索攻击
专门为空军提供战斗机培训服务的的加拿大公司TopAces表示,已经遭到勒索软件攻击。它的名字已经出现在LockBit勒索软件团伙的泄密网站上。LockBit团伙的官方网站已经放出要求,如不支付赎金将公布窃取的44GB内部数据;LockBit是目前最大的勒索软件即服务平台之一,据统计今年已攻击了至少650个目标组织。
印度第二大航司遭勒索软件攻击
5月26日消息,印度香料航空公司(SpiceJet)表示,由于系统在5月24日受“勒索软件攻击”影响,已有多次航班延误,大量乘客滞留机场。这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客。几个小时的延误,将转化为巨大的经济损失。
富士康被勒索软件攻击
电子制造巨头富士康证实,其位于蒂华纳(墨西哥)的生产工厂在5月下旬受到勒索软件攻击的影响。LockBit勒索软件团伙声称对此次攻击负责,并宣布如果该公司不支付赎金,将在2022年6月11日18:01:00之前释放被盗数据。这是富士康墨西哥工厂第二次受到勒索软件攻击的影响,2020年,DoppelPaymer袭击了奇瓦瓦州华雷斯城的工厂,并要求支付3400万美元的赎金。
6月
中国上百个重要信息系统被美国植入木马程序
国家计算机病毒应急处理中心和360公司同日披露,美国国家安全局所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台。
西门子工业网络管理系统发现十五处安全漏洞
网络安全研究人员披露了西门子SINEC网络管理系统(NMS)中15个安全漏洞的详细信息,其中一些可能被攻击者链接起来,以在受影响的系统上实现远程代码执行。工业安全公司Claroty在一份新报告中表示:“这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。”
土耳其飞马航空数据泄露
伊朗最大的钢铁生产商遭遇网络攻击
据外媒报道,伊朗最大的钢铁生产商KhouzestanSteelCompany(KSC)已承认遭遇严重网络攻击而被迫停产,这也是近年来针对该国战略工业部门的最大规模此类攻击之一。KSC对此表示,由于在“网络攻击”后“存在技术问题”,该工厂必须停工直至接到进一步的通知。6月27日,该公司网站也因此关闭。不过,KSC公司CEO称,已经有效挫败了这一次网络攻击,生产线并未受到结构性损害,也不会影响供应链和客户。
7月
黑客公布伊朗钢铁巨头近20G绝密文件,疑似以色列幕后支持
遭受大规模DDOS攻击,立陶宛能源公司业务被迫中断
立陶宛能源公司IgnitisGroup遭受了十年来最大的网络攻击,大量分布式拒绝服务(DDoS)攻击破坏了其数字服务和网站。随后,亲俄罗斯的黑客组织Killnet在其Telegram频道表示对此次攻击负责,这也是该组织在立陶宛发起的一系列攻击中的最新一次,原因是该国在与俄罗斯的战争中支持乌克兰。
跨国巨头遭勒索软件攻击:所有工厂正常运转,所有业务离线进行
德国建材巨头可耐福集团遭到BlackBasta勒索软件袭击,业务运营被扰乱,被迫关闭所有IT系统以隔离事件影响。可耐福称,目前所有工厂正常运转,所有业务离线进行。BlackBasta勒索软件团伙已在网站上将可耐福列为受害者,并放出了部分样本数据。
西班牙一核安全系统遭黑客攻击,部分地区服务中断数月
网络攻击导致国家辐射警报网络系统的300个地方传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。西班牙警方宣布,已逮捕两名黑客。据悉,两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。
8月
欧洲天然气管道遭遇勒索软件攻击
勒索软件组织ALPHV,声称对针对中欧国家天然气管道和电力网络运营商CreosLuxembourgSA遭受的网络攻击负责。Creos的母公司Encevo在五个欧盟国家经营能源业务,该公司于7月25日宣布,他们在7月22日至23日遭受了网络攻击。虽然网络攻击导致Encevo和Creos的客户门户站点不可用,但所提供的服务并未中断。
半导体巨头赛米控遭勒索软件攻击
网络攻击致使英国医疗急救热线“120”发生重大中断
由于受到网络攻击影响,英国国家医疗服务体系(NHS)的111急救热线发生重大持续性中断。这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示,111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。
国内多个高铁站列车大面积晚点,网友推测:疑遭网络攻击
8月12日晚,国内成都东站、重庆北站、济南西站、贵阳北站、沈阳北站、南京南站等多个高铁站发生列车大面积晚点,不少网友表示,自己遇到了“百年难得一见的事情”。当晚20时许,中国铁路成都局集团官微“西南铁路”作出回应:8月12日18时30分左右,铁路部门检查发现设备故障,现已开通线路,正在恢复运输秩序。受此影响,成都局管内部分线路列车将不同程度晚点运行。
国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标
服务美英等国主要航空公司的技术供应商Accelya透露,近期遭遇勒索软件攻击,部分系统已经受到影响。AlphV/BlackCat勒索软件团伙已经公布了据称窃取自Accelya的数据,包含电子邮件、员工合同等内容;航空产业已经成为勒索软件团伙的一大主要攻击目标,今年5月,印度香料航空、加拿大战斗机培训服务商均曾遭遇勒索软件攻击。
意大利最大能源企业疑遭勒索软件攻击,欧洲能源业近期频频被黑
意大利石油巨头埃尼集团日前表示,其计算机网络近几天遭受黑客攻击,但目前来看影响似乎不大。据知情人士称,埃尼集团似乎受到了勒索软件攻击。作为恶意软件家族中的一员,勒索软件会锁定计算机并阻止用户正常访问文件,只有支付赎金才能顺利解锁。目前还不清楚此次事件是谁所为。
9月
黑山遭遇勒索软件攻击,黑客索要1000万美元
BleepingComputer网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要1000万美元巨款。黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了1000万美元的赎金要求。最后,杜卡伊强调,无法估计受黑客影响的服务何时能够重新恢复正常使用。
三星再次遭遇黑客攻击
北约机密军事文件在暗网泄露
据葡萄牙媒体DiariodeNoticias曝光,葡萄牙武装部队总参谋部(EMGFA)遭受网络攻击,据称北约机密文件失窃,并发现有黑客在暗网上兜售这些文件。消息人士告诉DiariodeNoticias,泄露的文件“极其严重”,因此它们的传播可能会导致该国在军事联盟中的信誉出现危机。
网约车巨头Uber再遭黑客攻击!恰逢上次重大攻击案开始审判
据报道,2016年,美国网约车巨头Uber发生了重大黑客攻击事件,该公司一直到现在还没有终结这一事件的余波。然而日前,Uber再一次爆出攻击事件,再度陷入了网络安全的泥潭。一名黑客获得了Uber一位员工的Slack账号,并获取了该公司在亚马逊和谷歌云计算平台的访问权限。位于旧金山的Uber公司目前已经证实了这次黑客攻击,公司上下正在匆忙评估这次黑客攻击造成的损失。
10月
亲俄黑客组织对美国关键基础设施发起大规模攻击
近30万丰田车主数据疑遭泄露
印度塔塔电力公司遭网络攻击,部分IT系统受影响
印度头部电力企业TataPower证实其遭遇了网络攻击,并对其部分IT系统造成了影响。由提交给当地证券交易监管机构的PDF文档可知,该公司已采取措施来检索并恢复系统、所有关键操作系统都在运作。不过为了防患于未然,TataPower还是对员工、客户门户和接触点实施了限制访问和预防性检查。
勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行
德国报纸《海尔布隆言论报》在10月14日遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。此次攻击对该报母公司StimmeMediengruppe媒体集团造成了影响,旗下Echo等其他报纸的电子版也无法访问。StimmeMediengruppe还兼任当地报纸发行商职责,期间其他报纸的发行工作也无法进行。
伊朗核电站疑遭伊朗黑客组织攻击,大量数据泄露
11月
黑客成功入侵乌军战场指挥系统,战场数据泄露
黑客组织“JokerDPR”在电报群宣称已成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统,该系统目前是乌克兰部队主要使用的战场指挥系统。JokerDPR在电报频道中宣称已经用病毒感染了所有接入Delta系统的计算机,并且篡改了其中的数据。
德国跨国汽车巨头大陆集团遭LockBit勒索软件组织攻击
勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据
12月
汽车威胁大爆炸!只看一下车身,就能远程解锁十余款品牌汽车
美国关基保护重大事故!FBI关基设施关键联络人数据库泄露
12月10日,一个包含87,000多名美国联邦调查局(FBI)审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。FBIInfraGard计划包括经过审查的名人录,其中涉及管理国家大部分关键基础设施的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。
俄罗斯黑客试图入侵北约某国的大型炼油厂未遂
澳门多个关基设施网站无法访问:因阿里云香港发生故障
如文中所示,工控安全所面临的网络安全形势日趋严峻,网络攻击威胁持续上升,事故和隐患频发。网络安全、信息安全、工控安全等是国家发展的保障,其重要性不容忽视。
网络安全的维护是场持久战,工控安全的捍卫也同样不应放松警惕,我们只有居安思危、未雨绸缪,才能及时遏制事故发生,有效保证工控安全的健康发展和运行。