随着电⼒⾏业对⽹络的依赖程度越来越⾼,⽹络攻击对企业的安全运营造成巨⼤的威胁。电⼒系统与现代社会⽣产⽣活紧密相连,⼀旦出现断电,后果将不堪设想。对电⼒⾏业的攻击类型分为病毒、DDoS攻击、APT攻击、漏洞、恶意软件等。除普通的电⼒公司之外,核电⼚也是⽹络攻击的重点⽬标,核电⼚⼀旦被攻击,可能会产⽣员⼯或商业秘密信息的丢失、反应堆关闭或者实体的损坏等严重后果。 ⼀、巴西电⼒公司遭Sodinokibi软件攻击
2020年6⽉,巴西的电⼒公司Light S.A被⿊客1400万美元的赎⾦,AppGate的安全研究⼈员分析认为是Sodinokibi软件。Sodinokibi可在RaaS(软件即服务)模式下使⽤,它可能由与Pinchy Spider(即GandCrab软件背后的组织)有联系的威胁者操纵。同时,研究⼈员还发现该软件可以通过利⽤Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外,该软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密⽂件。
⼆、欧洲能源巨头EDP公司遭软件攻击
2020年4⽉,葡萄⽛跨国能源公司(天然⽓和电⼒)EDP(Energias de Portugal)遭Ragnar Locker软件攻击,赎⾦⾼达1090万美⾦。攻击者声称已经获取了公司10TB的敏感数据⽂件,如果EDP不⽀
付赎⾦,那么他们将公开泄露这些数据。根据EDP加密系统上的赎⾦记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。⽬前针对Ragnar Locker软件加密⽂件尚⽆法解密。
2019年9⽉,印度核电公司(the Nuclear Power Corporation of India Ltd,简称NPCIL)证实,印度泰⽶尔纳德邦的Kudankulam核电站(简称KNPP)内⽹感染了恶意软件。据了解,该软件由知名朝鲜⿊客组织Lazarus开发,属于Dtrack后门⽊马的变体。NPCIL的声明显⽰,Dtrack变体仅仅感染了核电站的管理⽹络,并未影响到⽤于控制核反应堆的关键内⽹。有报道指出,就在⼏天前,该核电站意外关闭了⼀座反应堆。虽然有关机构极⼒否认该事件和恶意软件的⼊侵有关,但时间上的巧合仍然让⼈不可避免地将⼆者联系在⼀起。
四、乌克兰某核电⼚发⽣重⼤⽹络安全事故
2019年7⽉,位于乌克兰南部的Yuzh-noukrainsk市附近的核电站出现严重安全事故,数名雇员将核电⼚内部⽹络连上了公共⽹络,以供其挖掘加密货币。此次事故被列为国家机密泄露事故,调查⼈员已经开始研究⿊客是否可利⽤联⽹设备⼊侵核电⼚内⽹,并窃取机密信息。 托瓦
五、委内瑞拉电⼒系统两年内遭遇多次⽹络攻击导致⼤规模停电事故
2019年3⽉7⽇-3⽉9⽇,连续三天,委内瑞拉电⼒系统遭到⽹络攻击出现3次⼤范围停电事件,全国⼤部分州都受到了影响。委政府官员指出,停电原因是古⾥⽔电站遭反对派蓄意破坏。
2019年7⽉,委内瑞拉⾸都加拉加斯及10余个州再发⽣⼤范围停电,地区供⽔和通信⽹络也因此受到极⼤影响。停电原因与2019年3⽉的相同。
2020年3⽉,委内瑞拉遭受严重停电,影响多个州和城市,导致互联⽹连接中断。
2020年5⽉,委内瑞拉国家电⽹765⼲线遭攻击,造成全国⼤⾯积停电。除⾸都加拉加斯外,全国11个州均发⽣停电。
六、南⾮约翰内斯堡电⼒公司遭软件攻击
2019年7⽉,南⾮最⼤的城市约翰内斯堡发⽣了⼀起针对City Power电⼒公司的软件攻击,导致若⼲居民区的电⼒中断。该病毒加密了所有数据库、应⽤程序、Web Apps、以及官⽅⽹站。攻击使得预付费⽤户⽆法买电、充值、办理发票,或访问City Power的官⽅⽹站。根据⽹络攻击的类型和严重程度,受影响的服务和⽹络的完全清理⼤概需要数周时间。
一次性封条七、⿊客利⽤思科防⽕墙中的已知漏洞针对美国电⼒公司发起拒绝服务 (DoS) 攻击
2019年3⽉,⿊客利⽤思科防⽕墙中的已知漏洞针对美国犹他州的可再⽣能源电⼒公司发起了拒绝服务 (DoS) 攻击。事件影响了加利福尼亚州(克恩县和洛杉矶县)、犹他州(盐湖县)和怀俄明州(Converse County)。北美电⼒可靠性公司(NERC)在9⽉表⽰,该安全漏洞影响了受害者使⽤的防⽕墙的Web界⾯,攻击者在这些设备上触发了DoS条件,导致它们重新启动。这导致该组织的控制中⼼和其各个站点的现场设备之间的通信中断。
⼋、法国公司Ingerop遭⽹络攻击导致费森海姆核电站(Fessenheim)敏感数据泄露
2018年6⽉,⿊客窃取了法国公司Ingerop逾65G⽂件,这些⽂件包括核电站计划和千余名Ingerop⼯作⼈员的个⼈信息等内容。部分⽂件与法国最早的核电站费森海姆核电站(Fessenheim)相关,该核电站位于德国边境,将于2022年关闭。若此类数据落⼊恶⼈之⼿,将把该核电站及公司员⼯置于恐怖主义阴谋等诸多威胁之下。
九、西门⼦设备存在严重漏洞,导致变电站易遭攻击
2018年3⽉,研究⼈员发现西门⼦继电保护设备存在多个严重漏洞,可导致变电站和其它供电设施易遭⿊客攻击。
玻璃纤维膨体纱⾼危漏洞 CVE-2018-4840可导致远程未经认证的攻击者修改设备配置并覆写访问密码。
中危漏洞 CVE-2018-4839可导致本地或⽹络攻击者通过拦截⽹络流量或从⽬标设备获取数据的⽅式恢复访问授权密码。
⾼危漏洞 CVE-2018-4838可导致未经认证的攻击者把设备上的固件降级为包含已知缺陷的版本。
⼗、俄⿊客对美国核电站和供⽔设施攻击事件
2018年3⽉,美国计算机应急准备⼩组发布了⼀则安全通告TA18-074A,详细描述了俄罗斯⿊客针对美国某发电⼚的⽹络攻击事件。
通告称俄⿊客组织通过
(1)收集⽬标相关的互联⽹信息和使⽤的开源系统的源代码;
(2)盗⽤合法账号发送鱼叉式钓鱼电⼦邮件;熔断器式隔离开关
(3)在受信任⽹站插⼊JavaScrip或PHP代码进⾏⽔坑攻击;
(4)利⽤钓鱼邮件和⽔坑攻击收集⽤户登录凭证信息;
输送带接头设备(5)构建基于操作系统和⼯业控制系统的攻击代码发起攻击。
本次攻击的主要⽬的是以收集情报为主,攻击者植⼊了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关⽤户的信息。
电⼒⾏业是关键基础设施的重要组成部分,不仅关系到民众⽇常⽣活,同样对⼯控领域、甚⾄对国家安全都影响深远。因此,重点加强电⽹设施的安全建设及电⼒企业内部的安全防护显得尤为重要。
当前国际形势⽇益严峻,对于像电⼒、⽯油、天然⽓等关乎国家安全的能源⾏业,加⼤信息技术应⽤创新同样⾄关重要。
