隨著電力行業(yè)對(duì)網(wǎng)絡(luò)的依賴程度越來越高，網(wǎng)絡(luò)攻擊對(duì)企業(yè)的安全運(yùn)營(yíng)造成巨大的威脅。電力系統(tǒng)與現(xiàn)代社會(huì)生產(chǎn)生活緊密相連，一旦出現(xiàn)斷電，后果將不堪設(shè)想。對(duì)電力行業(yè)的攻擊類型分為勒索病毒、DDoS攻擊、APT攻擊、漏洞、惡意軟件等。除普通的電力公司之外，核電廠也是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，核電廠一旦被攻擊，可能會(huì)產(chǎn)生員工或商業(yè)秘密信息的丟失、反應(yīng)堆關(guān)閉或者實(shí)體的損壞等嚴(yán)重后果。

　　《安全內(nèi)參》對(duì)跟蹤到的電力行業(yè)網(wǎng)絡(luò)安全事件進(jìn)行梳理，篩選出近三年比較有代表性的十個(gè)事件，為相關(guān)電力企業(yè)和監(jiān)管部門提供參考，防患于未然。

　　一、巴西電力公司遭Sodinokibi勒索軟件攻擊

　　2020年6月，巴西的電力公司Light S.A被黑客勒索1400萬(wàn)美元的贖金，AppGate的安全研究人員分析認(rèn)為是Sodinokibi勒索軟件。Sodinokibi可在RaaS(勒索軟件即服務(wù))模式下使用，它可能由與Pinchy Spider(即GandCrab勒索軟件背后的組織)有聯(lián)系的威脅者操縱。同時(shí)，研究人員還發(fā)現(xiàn)該軟件可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權(quán)。此外，該勒索軟件系列沒有全局解密器，這意味著需要攻擊者的私鑰才能解密文件。

　　二、歐洲能源巨頭EDP公司遭勒索軟件攻擊

　　2020年4月，葡萄牙跨國(guó)能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊，贖金高達(dá)1090萬(wàn)美金。攻擊者聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件，如果EDP不支付贖金，那么他們將公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息。目前針對(duì)Ragnar Locker勒索軟件加密文件尚無法解密。

　　三、印度核電站內(nèi)網(wǎng)感染惡意軟件

　　2019年9月，印度核電公司(the Nuclear Power Corporation of India Ltd，簡(jiǎn)稱NPCIL)證實(shí)，印度泰米爾納德邦的Kudankulam核電站(簡(jiǎn)稱KNPP)內(nèi)網(wǎng)感染了惡意軟件。據(jù)了解，該軟件由知名朝鮮黑客組織Lazarus開發(fā)，屬于Dtrack后門木馬的變體。NPCIL的聲明顯示，Dtrack變體僅僅感染了核電站的管理網(wǎng)絡(luò)，并未影響到用于控制核反應(yīng)堆的關(guān)鍵內(nèi)網(wǎng)。有報(bào)道指出，就在幾天前，該核電站意外關(guān)閉了一座反應(yīng)堆。雖然有關(guān)機(jī)構(gòu)極力否認(rèn)該事件和惡意軟件的入侵有關(guān)，但時(shí)間上的巧合仍然讓人不可避免地將二者聯(lián)系在一起。

　　四、烏克蘭某核電廠發(fā)生重大網(wǎng)絡(luò)安全事故

　　2019年7月，位于烏克蘭南部的Yuzh-noukrainsk市附近的核電站出現(xiàn)嚴(yán)重安全事故，數(shù)名雇員將核電廠內(nèi)部網(wǎng)絡(luò)連上了公共網(wǎng)絡(luò)，以供其挖掘加密貨幣。此次事故被列為國(guó)家機(jī)密泄露事故，調(diào)查人員已經(jīng)開始研究黑客是否可利用聯(lián)網(wǎng)設(shè)備入侵核電廠內(nèi)網(wǎng)，并竊取機(jī)密信息。

　　五、委內(nèi)瑞拉電力系統(tǒng)兩年內(nèi)遭遇多次網(wǎng)絡(luò)攻擊導(dǎo)致大規(guī)模停電事故

　　2019年3月7日-3月9日，連續(xù)三天，委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊出現(xiàn)3次大范圍停電事件，全國(guó)大部分州都受到了影響。委政府官員指出，停電原因是古里水電站遭反對(duì)派蓄意破壞。

　　2019年7月，委內(nèi)瑞拉首都加拉加斯及10余個(gè)州再發(fā)生大范圍停電，地區(qū)供水和通信網(wǎng)絡(luò)也因此受到極大影響。停電原因與2019年3月的相同。

　　2020年3月，委內(nèi)瑞拉遭受嚴(yán)重停電，影響多個(gè)州和城市，導(dǎo)致互聯(lián)網(wǎng)連接中斷。

　　2020年5月，委內(nèi)瑞拉國(guó)家電網(wǎng)765干線遭攻擊，造成全國(guó)大面積停電。除首都加拉加斯外，全國(guó)11個(gè)州均發(fā)生停電。

　　六、南非約翰內(nèi)斯堡電力公司遭勒索軟件攻擊

　　2019年7月，南非最大的城市約翰內(nèi)斯堡發(fā)生了一起針對(duì)City Power電力公司的勒索軟件攻擊，導(dǎo)致若干居民區(qū)的電力中斷。該病毒加密了所有數(shù)據(jù)庫(kù)、應(yīng)用程序、Web Apps、以及官方網(wǎng)站。攻擊使得預(yù)付費(fèi)用戶無法買電、充值、辦理發(fā)票，或訪問City Power的官方網(wǎng)站。根據(jù)網(wǎng)絡(luò)攻擊的類型和嚴(yán)重程度，受影響的服務(wù)和網(wǎng)絡(luò)的完全清理大概需要數(shù)周時(shí)間。

　　七、黑客利用思科防火墻中的已知漏洞針對(duì)美國(guó)電力公司發(fā)起拒絕服務(wù) (DoS) 攻擊

　　2019年3月，黑客利用思科防火墻中的已知漏洞針對(duì)美國(guó)猶他州的可再生能源電力公司發(fā)起了拒絕服務(wù) (DoS) 攻擊。事件影響了加利福尼亞州(克恩縣和洛杉磯縣)、猶他州(鹽湖縣)和懷俄明州(Converse County)。北美電力可靠性公司(NERC)在9月表示，該安全漏洞影響了受害者使用的防火墻的Web界面，攻擊者在這些設(shè)備上觸發(fā)了DoS條件，導(dǎo)致它們重新啟動(dòng)。這導(dǎo)致該組織的控制中心和其各個(gè)站點(diǎn)的現(xiàn)場(chǎng)設(shè)備之間的通信中斷。

　　八、法國(guó)公司Ingerop遭網(wǎng)絡(luò)攻擊導(dǎo)致費(fèi)森海姆核電站(Fessenheim)敏感數(shù)據(jù)泄露

　　2018年6月，黑客竊取了法國(guó)公司Ingerop逾65G文件，這些文件包括核電站計(jì)劃和千余名Ingerop工作人員的個(gè)人信息等內(nèi)容。部分文件與法國(guó)最早的核電站費(fèi)森海姆核電站(Fessenheim)相關(guān)，該核電站位于德國(guó)邊境，將于2022年關(guān)閉。若此類數(shù)據(jù)落入惡人之手，將把該核電站及公司員工置于恐怖主義陰謀等諸多威脅之下。

　　九、西門子設(shè)備存在嚴(yán)重漏洞，導(dǎo)致變電站易遭攻擊

　　2018年3月，研究人員發(fā)現(xiàn)西門子繼電保護(hù)設(shè)備存在多個(gè)嚴(yán)重漏洞，可導(dǎo)致變電站和其它供電設(shè)施易遭黑客攻擊。

　　高危漏洞 CVE-2018-4840可導(dǎo)致遠(yuǎn)程未經(jīng)認(rèn)證的攻擊者修改設(shè)備配置并覆寫訪問密碼。

　　中危漏洞 CVE-2018-4839可導(dǎo)致本地或網(wǎng)絡(luò)攻擊者通過攔截網(wǎng)絡(luò)流量或從目標(biāo)設(shè)備獲取數(shù)據(jù)的方式恢復(fù)訪問授權(quán)密碼。

　　高危漏洞 CVE-2018-4838可導(dǎo)致未經(jīng)認(rèn)證的攻擊者把設(shè)備上的固件降級(jí)為包含已知缺陷的版本。

　　十、俄黑客對(duì)美國(guó)核電站和供水設(shè)施攻擊事件

　　2018年3月，美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A，詳細(xì)描述了俄羅斯黑客針對(duì)美國(guó)某發(fā)電廠的網(wǎng)絡(luò)攻擊事件。

　　通告稱俄黑客組織通過

　　(1)收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼;

　　(2)盜用合法賬號(hào)發(fā)送魚叉式釣魚電子郵件;

　　(3)在受信任網(wǎng)站插入JavaScrip或PHP代碼進(jìn)行水坑攻擊;

　　(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;

　　(5)構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。

　　本次攻擊的主要目的是以收集情報(bào)為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關(guān)計(jì)算機(jī)的詳細(xì)信息，并在該計(jì)算機(jī)上保存有關(guān)用戶的信息。

　　電力行業(yè)是關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，不僅關(guān)系到民眾日常生活，同樣對(duì)工控領(lǐng)域、甚至對(duì)國(guó)家安全都影響深遠(yuǎn)。因此，重點(diǎn)加強(qiáng)電網(wǎng)設(shè)施的安全建設(shè)及電力企業(yè)內(nèi)部的安全防護(hù)顯得尤為重要。

　　當(dāng)前國(guó)際形勢(shì)日益嚴(yán)峻，對(duì)于像電力、石油、天然氣等關(guān)乎國(guó)家安全的能源行業(yè)，加大信息技術(shù)應(yīng)用創(chuàng)新同樣至關(guān)重要。

　　文章來源：安全內(nèi)參