【編者按】2020年,新冠疫情席捲全球,網絡攻擊事件頻發,尤其是國家級網絡攻擊的強度和嚴重程度均出現飆升,以電力行業為代表的關鍵基礎設施成為網絡攻擊的重點目標。電力行業是關鍵信息基礎設施重要組成部分,與現代社會生產生活緊密相聯,不僅關係到民眾日常生活,同時還關係到其它關鍵信息基礎設施的能源保障,甚至對國家安全都影響深遠。隨著電力行業數位化、網絡化、智能化程度越來越高,網絡攻擊對電力行業的安全運營造成了巨大威脅。除普通電廠外,核電廠也是網絡攻擊的重要目標,核電廠一旦被攻擊,可能會造成更加嚴重的災難性後果。
天地和興工業網絡安全研究院對跟蹤到的電力行業網絡安全事件進行梳理,篩選出今年比較典型的十二個事件,為相關電力企業和監管部門提供參考,防患於未然。
一、典型事件
1、美國電力公司遭黑客攻擊事件
2月伊朗政府資助的黑客組織Magnallium針對美國電網基礎設施進行了廣泛的的密碼噴射攻擊,並對美國的電力公司以及石油和天然氣公司的數千個帳戶使用通用密碼輪詢猜測。
2、美國麻薩諸塞州電力公司RMLD遭受勒索軟體攻擊事件
美國麻薩諸塞州電力公司雷丁市政照明部(RMLD)2月24日通知其客戶,其系統遭到勒索軟體攻擊,但對電力供應沒有造成影響,也沒有發現存儲在第三方系統中的客戶財務數據因此事件而受到破壞。
RMLD稱其IT團隊一直在努力隔離受感染的系統並刪除惡意軟體,還聘請了外部IT顧問來協助其工作。此外沒有提供任何關于勒索軟體類型的信息,也沒有說明它是如何出現在RMLD系統上的。RMLD表示客戶可以通過電話提出新的服務請求,並報告停機和服務問題。網上支付沒有受到事件的影響。儘管這可能是利益驅動的網絡犯罪分子發動的攻擊,但在過去幾年中,北美的電力公司越來越多地受到政府支持的威脅組織的攻擊。
3、歐洲電力協會ENTSO-E遭受網絡攻擊事件
2020年3月9日,歐洲輸電系統運營商網絡(ENTSO-E)披露,惡意行為者破壞了其公司網絡,ENTSO-E代表來自歐洲35個國家的42個輸電系統運營商(TSO)。TSO負責跨主要高壓網絡的電力傳輸,ENTSO-E與他們合作執行能源政策並實現歐洲的能源和氣候政策目標。該組織在一份簡短的聲明中稱已經進行了風險評估,並且已經制定了應急計劃,以減少任何進一步襲擊的風險和影響。ENTSO-E強調受影響的辦公網絡未連接到任何可運行的TSO系統,一些受影響的TSO已發布有關事件的聲明。此事件僅影響該組織與ENTSO-E之間的文件交換策略。但是由於這次攻擊,向電力供應商和生產商發布能源識別代碼會有所延遲。
4、歐洲能源巨頭EDP公司遭勒索軟體攻擊事件
2020年4月13日,葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟體攻擊,贖金高達1090萬美金。攻擊者聲稱已經獲取了公司10TB的敏感數據文件,如果EDP不支付贖金,那麼他們將公開洩露這些數據。根據EDP加密系統上的贖金記錄,攻擊者能夠竊取有關帳單、合同、交易、客戶和合作夥伴的機密信息。目前針對Ragnar Locker勒索軟體加密文件尚無法解密。
5、委內瑞拉國家電網幹線遭攻擊事件
2020年5月5日,據報導,委內瑞拉副總統羅德裡格斯宣布消息,委內瑞拉國家電網幹線遭到攻擊,造成全國大面積停電。
羅德裡格斯表示,國家電網的765幹線遭到攻擊。這也是在委挫敗僱傭兵入侵委內瑞拉數小時後發生的。除首都加拉加斯外,全國11個州府均發生停電。
6、英國電網管理者Elexon遭受網絡攻擊事件
2020年5月14日,英國電網重要的管理者Elexon確認,該系統受到網絡攻擊,但用於控制電力市場的關鍵系統並未受到影響。該公司在其網站上發布的一條短消息中表示,該事件僅影響其內部IT網絡和員工筆記本電腦。
該公司的電子郵件伺服器受到了影響,並已被刪除,從而使員工無法進行關鍵通信。Elexon表示該事件並未影響英國的電力供應。在後續發布的消息中,該公司稱已經確定了事件的根本原因,並且正在努力恢復其內部網絡和員工筆記本電腦。Elexon是英國電力市場上的關鍵角色。該公司管理電力供需,並根據需要在網絡中移動電力。
7、歐洲電力公司Enel遭受勒索軟體Snake攻擊事件
2020年6月7日晚,歐洲能源公司Enel Group遭受了勒索軟體Snake攻擊,其內部IT網絡中斷,所有連接已於6月8日凌晨安全恢復。該公司發言人表示,在防病毒系統檢測到勒索軟體之後,周日晚上,其內部IT網絡中斷。為了預防起見,公司暫時隔離了公司網絡,以進行旨在消除任何殘留風險的所有幹預措施。這些連接已在周一清晨安全恢復。與其配電資產和發電廠的遠程控制系統有關的關鍵問題尚未發生,客戶數據也未公開給第三方。由於內部IT網絡的暫時阻塞,客戶服務活動可能會在有限的時間內發生臨時中斷。
8、巴西電力公司遭Sodinokibi勒索軟體攻擊事件
2020年6月16日,巴西的電力公司Light S.A被黑客勒索1400萬美元的贖金,AppGate的安全研究人員分析認為是Sodinokibi勒索軟體。Sodinokibi可在RaaS(勒索軟體即服務)模式下使用,它可能由與Pinchy Spider(即GandCrab勒索軟體背後的組織)有聯繫的威脅者操縱。同時,研究人員還發現該軟體可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權。此外,該勒索軟體系列沒有全局解密器,這意味著需要攻擊者的私鑰才能解密文件。
9、印度查謨與克什米爾電力部門遭到惡意攻擊事件
2020年6月26日,印度查謨與克什米爾電力部門的數據中心伺服器遭受惡意網絡攻擊。不僅導致該部門連續3天無法正常運作,其網站與移動應用也被一併攻陷。
查謨與克什米爾電力部門IT團隊的Neel Kamal Singh在採訪中表示,他們遭遇的是勒索軟體攻擊,所有正式文件及數據均被黑客加密。最終,黑客在攻擊中至少成功入侵了4臺伺服器。
10、巴勒斯坦最大的私人電力公司遭受勒索軟體攻擊事件
2020年9月7日,巴基斯坦最大的電力供應商K-Electric遭受了Netwalker勒索軟體攻擊,並從K-Electric竊取了未加密的文件。但尚未得知多少數據被盜。攻擊導致計費和在線服務中斷。從9月7日開始,K-Electric的客戶無法訪問其帳戶的在線服務。勒索軟體運營商要求支付385萬美元的贖金。並威脅稱如果沒有在7天內支付,贖金將增加到770萬美元。
11、印度孟買遭受大規模嚴重斷電事件
2020年10月12日,印度孟買市遭遇前所未有的大範圍斷電,影響到該市數百萬人的通勤與正常生活。孟買全城停電近一天,直接導致鐵路運營癱瘓,股票交易所、醫療設施以及其它關鍵基礎設施全面遭遇風險。有報導稱,印度警方的網絡部門調查結果顯示,執法機關檢測到供應及傳輸設備伺服器上存在多次「可疑」登錄,停電很可能源自國家支持的黑客攻擊活動。
12、日本核監管局(NRA)遭受網絡攻擊事件
2020年11月3日,日本核監管局(NRA)稱其電子郵件系統可能因網絡攻擊而暫時關閉。該機構在其網站上發布了警告,要求人們通過電話或傳真進行聯繫,因為它無法接收來自外界的電子郵件。當局禁用了電子郵件系統,並對該事件進行了調查。據媒體報導,該事件對日本核電站的運營沒有影響。此次事件似乎是一個未知的外部政黨設法獲得對核監管局網絡的未經授權的訪問。該機構未提供有關此事件的任何正式聲明。目前核監管委員會與內閣網絡安全中心等將持續跟進調查,尋找原因並做好防護措施。
圖片
二、主要特點
一是勒索是主流攻擊手段。
勒索病毒是網絡攻擊最常見、最重要的攻擊手段。是一種發展最快、流行最廣的病毒,是眾所周知的安全隱患。針對電力系統的勒索病毒攻擊模式,逐漸成熟,主要以郵件、程序木馬、網頁掛馬等形式進行傳播,該病毒危害極大,一旦被感染,將給用戶帶來無法估量的損失。被稱為安全業界最頭疼的軟體。安全機構研究表示:勒索軟體在2020年最瘋狂,攻擊規模和頻率以驚人的速度增長,並且目前大部分流行的勒索病毒是無法解密的。2020年又出現了專門針對工控領域的勒索病毒「必加」(Petrwrap),該病毒危害極大。監測到的電力行業典型網絡攻擊事件中,一半以上都是勒索攻擊。
二是定向攻擊的專業程度高。
隨著網絡安全威脅從軟體向硬體發展,作為國家重點基礎設施的電網成為網絡攻擊第一線,成為國家之間網絡對抗及黑客定向攻擊的目標,多次成為被攻擊靶心。針對電力系統的定向攻擊模式也逐漸成熟,攻擊方式更加隱蔽、攻擊範圍高度擴散、攻擊手段無所不用。利用電力系統的漏洞植入惡意軟體、遠程訪問配電站控制系統、發送網絡攻擊幹擾系統引起停電、幹擾事故後維修工作等方式對電力系統進行網絡攻擊。還出現了定向直擊電網工控網絡攻擊武器「Lndustroyer」、「EKANS」和」Blacknergy」的惡意軟體,不僅能夠關閉電力設施中的關鍵系統,還能讓黑客遠程控制目標系統,專門攻擊重點基礎設施和戰略目標,對電力行業威脅極大。
三是影響大、損失難以估量。
電力系統是重點基礎設施的核心組成,是關乎國際民生的重點目標。隨著電力系統安全面臨高危漏洞不斷暴露,網絡安全威脅與風險不斷加大,電力行業一旦遭受攻擊會帶來巨大的損失。因此,電力網絡安全的風險所帶來的不僅僅是信息洩露,信息系統無法使用等「小」問題,而是對現實世界造成直接的實質性的影響,如社會生產癱瘓、交通癱瘓、設備損壞、環境汙染等,如果電力系統遭到侵害,可能會造成全盤崩潰,後果將是災難性的,這是相當可怕的。攻擊者自詡成功進入一次,就可能導致電站乃至整套能源供應鏈發生癱瘓,其中涵蓋天然氣、石油、汽油及供水系統,可能造成人員傷亡、社會動蕩等嚴重的災難性後果。
隨著能源網際網路的發展以及IT/OT和IOT技術的融合發展,電力行業業務系統由原有的分割形態逐步向大融合方向發展。針對新技術新業務發展所帶來的安全風險,電力行業需要從原有以隔離為主要手段的安全能力,逐步向保障安全運營的體系化安全能力發展。這就需要以技術、管理和運營的基礎安全需求入手,結合不同業務運行特點,通過安全編排、靈活適配與協同響應,保障企業全天候、全時域的生產安全和信息安全,形成貫穿全生命後周期的持續安全運營能力。