2020年电力行业典型网络攻击事件,典型事件

【编者按】2020年,新冠疫情席卷全球,网络攻击事件频发,尤其是国家级网络攻击的强度和严重程度均出现飙升,以电力行业为代表的关键基础设施成为网络攻击的重点目标。电力行业是关键信息基础设施重要组成部分,与现代社会生产生活紧密相联,不仅关系到民众日常生活,同时还关系到其它关键信息基础设施的能源保障,甚至对国家安全都影响深远。随着电力行业数字化、网络化、智能化程度越来越高,网络攻击对电力行业的安全运营造成了巨大威胁。除普通电厂外,核电厂也是网络攻击的重要目标,核电厂一旦被攻击,可能会造成更加严重的灾难性后果。

天地和兴工业网络安全研究院对跟踪到的电力行业网络安全事件进行梳理,筛选出今年比较典型的十二个事件,为相关电力企业和监管部门提供参考,防患于未然。

一、典型事件

1、美国电力公司遭黑客攻击事件

2月伊朗政府资助的黑客组织Magnallium针对美国电网基础设施进行了广泛的的密码喷射攻击,并对美国的电力公司以及石油和天然气公司的数千个账户使用通用密码轮询猜测。

2、美国马萨诸塞州电力公司RMLD遭受勒索软件攻击事件

美国马萨诸塞州电力公司雷丁市政照明部(RMLD)2月24日通知其客户,其系统遭到勒索软件攻击,但对电力供应没有造成影响,也没有发现存储在第三方系统中的客户财务数据因此事件而受到破坏。

RMLD称其IT团队一直在努力隔离受感染的系统并删除恶意软件,还聘请了外部IT顾问来协助其工作。此外没有提供任何关于勒索软件类型的信息,也没有说明它是如何出现在RMLD系统上的。RMLD表示客户可以通过电话提出新的服务请求,并报告停机和服务问题。网上支付没有受到事件的影响。尽管这可能是利益驱动的网络犯罪分子发动的攻击,但在过去几年中,北美的电力公司越来越多地受到政府支持的威胁组织的攻击。

3、欧洲电力协会ENTSO-E遭受网络攻击事件

2020年3月9日,欧洲输电系统运营商网络(ENTSO-E)披露,恶意行为者破坏了其公司网络,ENTSO-E代表来自欧洲35个国家的42个输电系统运营商(TSO)。TSO负责跨主要高压网络的电力传输,ENTSO-E与他们合作执行能源政策并实现欧洲的能源和气候政策目标。该组织在一份简短的声明中称已经进行了风险评估,并且已经制定了应急计划,以减少任何进一步袭击的风险和影响。ENTSO-E强调受影响的办公网络未连接到任何可运行的TSO系统,一些受影响的TSO已发布有关事件的声明。此事件仅影响该组织与ENTSO-E之间的文件交换策略。但是由于这次攻击,向电力供应商和生产商发布能源识别代码会有所延迟。

4、欧洲能源巨头EDP公司遭勒索软件攻击事件

2020年4月13日,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,赎金高达1090万美金。攻击者声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。目前针对Ragnar Locker勒索软件加密文件尚无法解密。

5、委内瑞拉国家电网干线遭攻击事件

2020年5月5日,据报道,委内瑞拉副总统罗德里格斯宣布消息,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。

罗德里格斯表示,国家电网的765干线遭到攻击。这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。除首都加拉加斯外,全国11个州府均发生停电。

6、英国电网管理者Elexon遭受网络攻击事件

2020年5月14日,英国电网重要的管理者Elexon确认,该系统受到网络攻击,但用于控制电力市场的关键系统并未受到影响。该公司在其网站上发布的一条短消息中表示,该事件仅影响其内部IT网络和员工笔记本电脑。

该公司的电子邮件服务器受到了影响,并已被删除,从而使员工无法进行关键通信。Elexon表示该事件并未影响英国的电力供应。在后续发布的消息中,该公司称已经确定了事件的根本原因,并且正在努力恢复其内部网络和员工笔记本电脑。Elexon是英国电力市场上的关键角色。该公司管理电力供需,并根据需要在网络中移动电力。

7、欧洲电力公司Enel遭受勒索软件Snake攻击事件

2020年6月7日晚,欧洲能源公司Enel Group遭受了勒索软件Snake攻击,其内部IT网络中断,所有连接已于6月8日凌晨安全恢复。该公司发言人表示,在防病毒系统检测到勒索软件之后,周日晚上,其内部IT网络中断。为了预防起见,公司暂时隔离了公司网络,以进行旨在消除任何残留风险的所有干预措施。这些连接已在周一清晨安全恢复。与其配电资产和发电厂的远程控制系统有关的关键问题尚未发生,客户数据也未公开给第三方。由于内部IT网络的暂时阻塞,客户服务活动可能会在有限的时间内发生临时中断。

8、巴西电力公司遭Sodinokibi勒索软件攻击事件

2020年6月16日,巴西的电力公司Light S.A被黑客勒索1400万美元的赎金,AppGate的安全研究人员分析认为是Sodinokibi勒索软件。Sodinokibi可在RaaS(勒索软件即服务)模式下使用,它可能由与Pinchy Spider(即GandCrab勒索软件背后的组织)有联系的威胁者操纵。同时,研究人员还发现该软件可以通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外,该勒索软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密文件。

9、印度查谟与克什米尔电力部门遭到恶意攻击事件

2020年6月26日,印度查谟与克什米尔电力部门的数据中心服务器遭受恶意网络攻击。不仅导致该部门连续3天无法正常运作,其网站与移动应用也被一并攻陷。

查谟与克什米尔电力部门IT团队的Neel Kamal Singh在采访中表示,他们遭遇的是勒索软件攻击,所有正式文件及数据均被黑客加密。最终,黑客在攻击中至少成功入侵了4台服务器。

10、巴勒斯坦最大的私人电力公司遭受勒索软件攻击事件

2020年9月7日,巴基斯坦最大的电力供应商K-Electric遭受了Netwalker勒索软件攻击,并从K-Electric窃取了未加密的文件。但尚未得知多少数据被盗。攻击导致计费和在线服务中断。从9月7日开始,K-Electric的客户无法访问其账户的在线服务。勒索软件运营商要求支付385万美元的赎金。并威胁称如果没有在7天内支付,赎金将增加到770万美元。

11、印度孟买遭受大规模严重断电事件

2020年10月12日,印度孟买市遭遇前所未有的大范围断电,影响到该市数百万人的通勤与正常生活。孟买全城停电近一天,直接导致铁路运营瘫痪,股票交易所、医疗设施以及其它关键基础设施全面遭遇风险。有报道称,印度警方的网络部门调查结果显示,执法机关检测到供应及传输设备服务器上存在多次“可疑”登录,停电很可能源自国家支持的黑客攻击活动。

12、日本核监管局(NRA)遭受网络攻击事件

2020年11月3日,日本核监管局(NRA)称其电子邮件系统可能因网络攻击而暂时关闭。该机构在其网站上发布了警告,要求人们通过电话或传真进行联系,因为它无法接收来自外界的电子邮件。当局禁用了电子邮件系统,并对该事件进行了调查。据媒体报道,该事件对日本核电站的运营没有影响。此次事件似乎是一个未知的外部政党设法获得对核监管局网络的未经授权的访问。该机构未提供有关此事件的任何正式声明。目前核监管委员会与内阁网络安全中心等将持续跟进调查,寻找原因并做好防护措施。

图片

二、主要特点

一是勒索是主流攻击手段。

勒索病毒是网络攻击最常见、最重要的攻击手段。是一种发展最快、流行最广的病毒,是众所周知的安全隐患。针对电力系统的勒索病毒攻击模式,逐渐成熟,主要以邮件、程序木马、网页挂马等形式进行传播,该病毒危害极大,一旦被感染,将给用户带来无法估量的损失。被称为安全业界最头疼的软件。安全机构研究表示:勒索软件在2020年最疯狂,攻击规模和频率以惊人的速度增长,并且目前大部分流行的勒索病毒是无法解密的。2020年又出现了专门针对工控领域的勒索病毒“必加”(Petrwrap),该病毒危害极大。监测到的电力行业典型网络攻击事件中,一半以上都是勒索攻击。

二是定向攻击的专业程度高。

随着网络安全威胁从软件向硬件发展,作为国家重点基础设施的电网成为网络攻击第一线,成为国家之间网络对抗及黑客定向攻击的目标,多次成为被攻击靶心。针对电力系统的定向攻击模式也逐渐成熟,攻击方式更加隐蔽、攻击范围高度扩散、攻击手段无所不用。利用电力系统的漏洞植入恶意软件、远程访问配电站控制系统、发送网络攻击干扰系统引起停电、干扰事故后维修工作等方式对电力系统进行网络攻击。还出现了定向直击电网工控网络攻击武器“Lndustroyer”、“EKANS”和”Blacknergy”的恶意软件,不仅能够关闭电力设施中的关键系统,还能让黑客远程控制目标系统,专门攻击重点基础设施和战略目标,对电力行业威胁极大。

三是影响大、损失难以估量。

电力系统是重点基础设施的核心组成,是关乎国际民生的重点目标。随着电力系统安全面临高危漏洞不断暴露,网络安全威胁与风险不断加大,电力行业一旦遭受攻击会带来巨大的损失。因此,电力网络安全的风险所带来的不仅仅是信息泄露,信息系统无法使用等“小”问题,而是对现实世界造成直接的实质性的影响,如社会生产瘫痪、交通瘫痪、设备损坏、环境污染等,如果电力系统遭到侵害,可能会造成全盘崩溃,后果将是灾难性的,这是相当可怕的。攻击者自诩成功进入一次,就可能导致电站乃至整套能源供应链发生瘫痪,其中涵盖天然气、石油、汽油及供水系统,可能造成人员伤亡、社会动荡等严重的灾难性后果。

随着能源互联网的发展以及IT/OT和IOT技术的融合发展,电力行业业务系统由原有的分割形态逐步向大融合方向发展。针对新技术新业务发展所带来的安全风险,电力行业需要从原有以隔离为主要手段的安全能力,逐步向保障安全运营的体系化安全能力发展。这就需要以技术、管理和运营的基础安全需求入手,结合不同业务运行特点,通过安全编排、灵活适配与协同响应,保障企业全天候、全时域的生产安全和信息安全,形成贯穿全生命后周期的持续安全运营能力。

相关推荐

相关文章