【編者按】2020年，新冠疫情席卷全球，網(wǎng)絡攻擊事件頻發(fā)，尤其是國家級網(wǎng)絡攻擊的強度和嚴重程度均出現(xiàn)飆升，以電力行業(yè)為代表的關鍵基礎設施成為網(wǎng)絡攻擊的重點目標。電力行業(yè)是關鍵信息基礎設施重要組成部分，與現(xiàn)代社會生產(chǎn)生活緊密相聯(lián)，不僅關系到民眾日常生活，同時還關系到其它關鍵信息基礎設施的能源保障，甚至對國家安全都影響深遠。隨著電力行業(yè)數(shù)字化、網(wǎng)絡化、智能化程度越來越高，網(wǎng)絡攻擊對電力行業(yè)的安全運營造成了巨大威脅。除普通電廠外，核電廠也是網(wǎng)絡攻擊的重要目標，核電廠一旦被攻擊，可能會造成更加嚴重的災難性后果。

　　一、典型事件

　　1、美國電力公司遭黑客攻擊事件

　　2月伊朗政府資助的黑客組織Magnallium針對美國電網(wǎng)基礎設施進行了廣泛的的密碼噴射攻擊，并對美國的電力公司以及石油和天然氣公司的數(shù)千個賬戶使用通用密碼輪詢猜測。

　　2、美國馬薩諸塞州電力公司RMLD遭受勒索軟件攻擊事件

　　美國馬薩諸塞州電力公司雷丁市政照明部(RMLD)2月24日通知其客戶，其系統(tǒng)遭到勒索軟件攻擊，但對電力供應沒有造成影響，也沒有發(fā)現(xiàn)存儲在第三方系統(tǒng)中的客戶財務數(shù)據(jù)因此事件而受到破壞。

　　RMLD稱其IT團隊一直在努力隔離受感染的系統(tǒng)并刪除惡意軟件，還聘請了外部IT顧問來協(xié)助其工作。此外沒有提供任何關于勒索軟件類型的信息，也沒有說明它是如何出現(xiàn)在RMLD系統(tǒng)上的。RMLD表示客戶可以通過電話提出新的服務請求，并報告停機和服務問題。網(wǎng)上支付沒有受到事件的影響。盡管這可能是利益驅(qū)動的網(wǎng)絡犯罪分子發(fā)動的攻擊，但在過去幾年中，北美的電力公司越來越多地受到政府支持的威脅組織的攻擊。

　　3、歐洲電力協(xié)會ENTSO-E遭受網(wǎng)絡攻擊事件

　　2020年3月9日，歐洲輸電系統(tǒng)運營商網(wǎng)絡(ENTSO-E)披露，惡意行為者破壞了其公司網(wǎng)絡，ENTSO-E代表來自歐洲35個國家的42個輸電系統(tǒng)運營商(TSO)。TSO負責跨主要高壓網(wǎng)絡的電力傳輸，ENTSO-E與他們合作執(zhí)行能源政策并實現(xiàn)歐洲的能源和氣候政策目標。該組織在一份簡短的聲明中稱已經(jīng)進行了風險評估，并且已經(jīng)制定了應急計劃，以減少任何進一步襲擊的風險和影響。ENTSO-E強調(diào)受影響的辦公網(wǎng)絡未連接到任何可運行的TSO系統(tǒng)，一些受影響的TSO已發(fā)布有關事件的聲明。此事件僅影響該組織與ENTSO-E之間的文件交換策略。但是由于這次攻擊，向電力供應商和生產(chǎn)商發(fā)布能源識別代碼會有所延遲。

　　4、歐洲能源巨頭EDP公司遭勒索軟件攻擊事件

　　2020年4月13日，葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊，贖金高達1090萬美金。攻擊者聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件，如果EDP不支付贖金，那么他們將公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關賬單、合同、交易、客戶和合作伙伴的機密信息。目前針對Ragnar Locker勒索軟件加密文件尚無法解密。

　　5、委內(nèi)瑞拉國家電網(wǎng)干線遭攻擊事件

　　2020年5月5日，據(jù)報道，委內(nèi)瑞拉副總統(tǒng)羅德里格斯宣布消息，委內(nèi)瑞拉國家電網(wǎng)干線遭到攻擊，造成全國大面積停電。

　　羅德里格斯表示，國家電網(wǎng)的765干線遭到攻擊。這也是在委挫敗雇傭兵入侵委內(nèi)瑞拉數(shù)小時后發(fā)生的。除首都加拉加斯外，全國11個州府均發(fā)生停電。

　　6、英國電網(wǎng)管理者Elexon遭受網(wǎng)絡攻擊事件

　　2020年5月14日，英國電網(wǎng)重要的管理者Elexon確認，該系統(tǒng)受到網(wǎng)絡攻擊，但用于控制電力市場的關鍵系統(tǒng)并未受到影響。該公司在其網(wǎng)站上發(fā)布的一條短消息中表示，該事件僅影響其內(nèi)部IT網(wǎng)絡和員工筆記本電腦。

　　該公司的電子郵件服務器受到了影響，并已被刪除，從而使員工無法進行關鍵通信。Elexon表示該事件并未影響英國的電力供應。在后續(xù)發(fā)布的消息中，該公司稱已經(jīng)確定了事件的根本原因，并且正在努力恢復其內(nèi)部網(wǎng)絡和員工筆記本電腦。Elexon是英國電力市場上的關鍵角色。該公司管理電力供需，并根據(jù)需要在網(wǎng)絡中移動電力。

　　7、歐洲電力公司Enel遭受勒索軟件Snake攻擊事件

　　2020年6月7日晚，歐洲能源公司Enel Group遭受了勒索軟件Snake攻擊，其內(nèi)部IT網(wǎng)絡中斷，所有連接已于6月8日凌晨安全恢復。該公司發(fā)言人表示，在防病毒系統(tǒng)檢測到勒索軟件之后，周日晚上，其內(nèi)部IT網(wǎng)絡中斷。為了預防起見，公司暫時隔離了公司網(wǎng)絡，以進行旨在消除任何殘留風險的所有干預措施。這些連接已在周一清晨安全恢復。與其配電資產(chǎn)和發(fā)電廠的遠程控制系統(tǒng)有關的關鍵問題尚未發(fā)生，客戶數(shù)據(jù)也未公開給第三方。由于內(nèi)部IT網(wǎng)絡的暫時阻塞，客戶服務活動可能會在有限的時間內(nèi)發(fā)生臨時中斷。

　　8、巴西電力公司遭Sodinokibi勒索軟件攻擊事件

　　2020年6月16日，巴西的電力公司Light S.A被黑客勒索1400萬美元的贖金，AppGate的安全研究人員分析認為是Sodinokibi勒索軟件。Sodinokibi可在RaaS(勒索軟件即服務)模式下使用，它可能由與Pinchy Spider(即GandCrab勒索軟件背后的組織)有聯(lián)系的威脅者操縱。同時，研究人員還發(fā)現(xiàn)該軟件可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權。此外，該勒索軟件系列沒有全局解密器，這意味著需要攻擊者的私鑰才能解密文件。

　　9、印度查謨與克什米爾電力部門遭到惡意攻擊事件

　　2020年6月26日，印度查謨與克什米爾電力部門的數(shù)據(jù)中心服務器遭受惡意網(wǎng)絡攻擊。不僅導致該部門連續(xù)3天無法正常運作，其網(wǎng)站與移動應用也被一并攻陷。

　　查謨與克什米爾電力部門IT團隊的Neel Kamal Singh在采訪中表示，他們遭遇的是勒索軟件攻擊，所有正式文件及數(shù)據(jù)均被黑客加密。最終，黑客在攻擊中至少成功入侵了4臺服務器。

　　10、巴勒斯坦最大的私人電力公司遭受勒索軟件攻擊事件

　　2020年9月7日，巴基斯坦最大的電力供應商K-Electric遭受了Netwalker勒索軟件攻擊，并從K-Electric竊取了未加密的文件。但尚未得知多少數(shù)據(jù)被盜。攻擊導致計費和在線服務中斷。從9月7日開始，K-Electric的客戶無法訪問其賬戶的在線服務。勒索軟件運營商要求支付385萬美元的贖金。并威脅稱如果沒有在7天內(nèi)支付，贖金將增加到770萬美元。

　　11、印度孟買遭受大規(guī)模嚴重斷電事件

　　2020年10月12日，印度孟買市遭遇前所未有的大范圍斷電，影響到該市數(shù)百萬人的通勤與正常生活。孟買全城停電近一天，直接導致鐵路運營癱瘓，股票交易所、醫(yī)療設施以及其它關鍵基礎設施全面遭遇風險。有報道稱，印度警方的網(wǎng)絡部門調(diào)查結(jié)果顯示，執(zhí)法機關檢測到供應及傳輸設備服務器上存在多次“可疑”登錄，停電很可能源自國家支持的黑客攻擊活動。

　　12、日本核監(jiān)管局(NRA)遭受網(wǎng)絡攻擊事件

　　2020年11月3日，日本核監(jiān)管局(NRA)稱其電子郵件系統(tǒng)可能因網(wǎng)絡攻擊而暫時關閉。該機構在其網(wǎng)站上發(fā)布了警告，要求人們通過電話或傳真進行聯(lián)系，因為它無法接收來自外界的電子郵件。當局禁用了電子郵件系統(tǒng)，并對該事件進行了調(diào)查。據(jù)媒體報道，該事件對日本核電站的運營沒有影響。此次事件似乎是一個未知的外部政黨設法獲得對核監(jiān)管局網(wǎng)絡的未經(jīng)授權的訪問。該機構未提供有關此事件的任何正式聲明。目前核監(jiān)管委員會與內(nèi)閣網(wǎng)絡安全中心等將持續(xù)跟進調(diào)查，尋找原因并做好防護措施。

　　二、主要特點

　　一是勒索是主流攻擊手段。

　　勒索病毒是網(wǎng)絡攻擊最常見、最重要的攻擊手段。是一種發(fā)展最快、流行最廣的病毒，是眾所周知的安全隱患。針對電力系統(tǒng)的勒索病毒攻擊模式，逐漸成熟，主要以郵件、程序木馬、網(wǎng)頁掛馬等形式進行傳播，該病毒危害極大，一旦被感染，將給用戶帶來無法估量的損失。被稱為安全業(yè)界最頭疼的軟件。安全機構研究表示：勒索軟件在2020年最瘋狂，攻擊規(guī)模和頻率以驚人的速度增長，并且目前大部分流行的勒索病毒是無法解密的。2020年又出現(xiàn)了專門針對工控領域的勒索病毒“必加”(Petrwrap)，該病毒危害極大。監(jiān)測到的電力行業(yè)典型網(wǎng)絡攻擊事件中，一半以上都是勒索攻擊。

　　二是定向攻擊的專業(yè)程度高。

　　隨著網(wǎng)絡安全威脅從軟件向硬件發(fā)展，作為國家重點基礎設施的電網(wǎng)成為網(wǎng)絡攻擊第一線，成為國家之間網(wǎng)絡對抗及黑客定向攻擊的目標，多次成為被攻擊靶心。針對電力系統(tǒng)的定向攻擊模式也逐漸成熟，攻擊方式更加隱蔽、攻擊范圍高度擴散、攻擊手段無所不用。利用電力系統(tǒng)的漏洞植入惡意軟件、遠程訪問配電站控制系統(tǒng)、發(fā)送網(wǎng)絡攻擊干擾系統(tǒng)引起停電、干擾事故后維修工作等方式對電力系統(tǒng)進行網(wǎng)絡攻擊。還出現(xiàn)了定向直擊電網(wǎng)工控網(wǎng)絡攻擊武器“Lndustroyer”、“EKANS”和”Blacknergy”的惡意軟件，不僅能夠關閉電力設施中的關鍵系統(tǒng)，還能讓黑客遠程控制目標系統(tǒng)，專門攻擊重點基礎設施和戰(zhàn)略目標，對電力行業(yè)威脅極大。

　　三是影響大、損失難以估量。

　　電力系統(tǒng)是重點基礎設施的核心組成，是關乎國際民生的重點目標。隨著電力系統(tǒng)安全面臨高危漏洞不斷暴露，網(wǎng)絡安全威脅與風險不斷加大，電力行業(yè)一旦遭受攻擊會帶來巨大的損失。因此，電力網(wǎng)絡安全的風險所帶來的不僅僅是信息泄露，信息系統(tǒng)無法使用等“小”問題，而是對現(xiàn)實世界造成直接的實質(zhì)性的影響，如社會生產(chǎn)癱瘓、交通癱瘓、設備損壞、環(huán)境污染等，如果電力系統(tǒng)遭到侵害，可能會造成全盤崩潰，后果將是災難性的，這是相當可怕的。攻擊者自詡成功進入一次，就可能導致電站乃至整套能源供應鏈發(fā)生癱瘓，其中涵蓋天然氣、石油、汽油及供水系統(tǒng)，可能造成人員傷亡、社會動蕩等嚴重的災難性后果。

　　隨著能源互聯(lián)網(wǎng)的發(fā)展以及IT/OT和IOT技術的融合發(fā)展，電力行業(yè)業(yè)務系統(tǒng)由原有的分割形態(tài)逐步向大融合方向發(fā)展。針對新技術新業(yè)務發(fā)展所帶來的安全風險，電力行業(yè)需要從原有以隔離為主要手段的安全能力，逐步向保障安全運營的體系化安全能力發(fā)展。這就需要以技術、管理和運營的基礎安全需求入手，結(jié)合不同業(yè)務運行特點，通過安全編排、靈活適配與協(xié)同響應，保障企業(yè)全天候、全時域的生產(chǎn)安全和信息安全，形成貫穿全生命后周期的持續(xù)安全運營能力。（文章來源：天地和興）