能源(电力、石油等)系统与现代社会生产生活紧密相连,一旦能源系统出现中断,后果将不堪设想。随着能源行业对网络的依赖程度越来越高、网络安全形势日趋严峻,网络攻击对企业的运营安全也造了成巨大威胁。
小编特别整理出来最新的关于能源行业全球网络攻击中的代表性事件,以便大家快速了解能源行业近两年发生的重大网络攻击态势以及最新的安全威胁手段,帮助各类企业预先做好安全防护,防患于未然。
1、澳大利亚一家能源公司(CS Energy)遭受攻击。
2021年11月27日,澳大利亚CS能源公司遭受网络攻击。CS Energy位于昆士兰,为当地政府所有,为昆士兰的数百万家庭以及大型商业和工业客户提供电力。
本次攻击事件是由CS 能源公司运营的一个主要能源网络遭到勒索软件攻击,这次攻击可能会造成严重后果,使数百万家庭失去能源。好在这次攻击被及时发现并及时解决。一旦攻击成功,可能会造成供140万到300万户家庭使用的3500兆瓦的电力将被切断。
勒索软件团伙Conti声称对此次澳大利亚能源公司 CS Energy的攻击负责。
类别鉴定:勒索软件攻击
2、挪威一家能源供应商(Volue)遭受勒索软件攻击,导致其业务受到影响。
2021年5月,挪威能源及基础设施技术方案供应商Volue公司遭到Ryuk勒索软件攻击。在此次攻击事件中,勒索软件关闭了挪威200座城市的供水与水处理设施的应用程序,影响范围覆盖全国85%的居民。为了防止勒索软件进一步传播至其他计算机系统,Volue公司不得不关闭了其他多种应用程序。该公司表示,所有数据都已备份到云计算中,备份不会受到攻击的影响。
这次攻击由臭名昭著的Ryuk勒索软件发起,其运营商通过加密一家公司的文件后索要赎金来获利。
类别鉴定:勒索软件攻击
3、新英格兰最大的能源供应商-Eversource遭遇数据泄露。
2021年4月,新英格兰地区最大的能源供应商-Eversource遭遇大量数据泄露,此前客户的个人信息在一个不安全的云服务器上被曝光。Eversource向客户发出警告,一个不安全的云存储服务器暴露了他们的姓名、地址、电话号码、社会安全号码、服务地址和帐户号码。该问题源自Eversource在3月16日进行的一次安全检查,他们发现一个“云数据存储文件夹”配置错误,导致任何人都可以访问其中的内容。
类别鉴定:数据泄漏
4、巴西两家大型电力公司在一周内均遭受了勒索软件攻击,导致部分业务运行中断。
2021年2月,巴西两家大型电力公司——巴西中央电力公司(Eletrobras)和巴西能源公司(Copel)宣布,它们在过去一周遭受了勒索软件攻击。这两起勒索软件攻击都导致了运营中断,迫使这些公司暂停了部分系统。巴西中央电力公司(Eletrobras)的攻击发生在其子公司Elenuclear,影响了一些管理网络服务器。
而Copel公司的攻击是由DarkSide勒索软件团伙实施,他们声称已经窃取超过1000 GB的数据,缓存中包括敏感的基础设施访问信息以及高层管理人员和客户的个人信息。据黑客称,他们获得了该公司用于特权访问管理的CyberArk解决方案的权限,并在Copel的本地和互联网基础设施上窃取了明文密码。
类别鉴定:勒索软件攻击
5、一场从能源公司窃取信息的全球行动正在使用复杂的社会工程来传递RAT病毒。
2021年7月,研究人员发现一场从能源公司窃取信息的全球行动正在使用复杂的社会工程来传递RAT病毒。研究人员称,这场针对石油和天然气领域大型国际公司的复杂运动已经进行了一年多,传播带有恶意附件的鱼叉式网络钓鱼电子邮件,被用来在受感染的机器上投下各种RAT病毒,包括Tesla、AZORult、Formbook、Loki和Snake Keylogger,他们倾向于窃取敏感数据、银行信息和浏览器信息等,并记录键盘敲击。受害者分布德国、美国、阿拉伯联合酋长国(UAE)等地,但主要目标是韩国企业。
研究人员在报告中指出:“本次活动一旦黑客成功入侵,攻击者可以利用被入侵的收件人的电子邮件账户,向与该供应商合作的公司发送鱼叉式网络钓鱼邮件,从而利用该供应商已建立的声誉,打击更有针对性的实体。”
类别鉴定:远程管理木马
6、欧洲能源巨头EDP(Energias de Portugal)公司遭勒索软件攻击,索要高额赎金。
2020年4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,攻击者索要1580比特币赎金(折合约1090万美元/990万欧元)。
在这次攻击过程中,Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。
类别鉴定:勒索软件攻击
7、美国最大油气管道商遭遇网络攻击
2021年5月,美国最大燃油运输管道商科洛尼尔(ColonialPipeline)公司遭到勒索软件攻击,迫使其关闭了美国东部沿海各州供油的关键管道,对美国东海岸燃油供应造成了严重影响。
次日,美国交通部因此宣布多个州进入紧急状态,给予17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油临时运输豁免,以便有关燃料可通过公路运输。此次攻击事件导致美国汽油期货价格飙涨,引起业界广泛关注。
类别鉴定:勒索软件攻击
8、能源巨头壳牌公司(Shell)遭受Accelion黑客攻击
2021年3月,能源巨头壳牌公司(Shell)遭遇黑客攻击,导致数据泄露。攻击者利用安全厂商Accellion的文件传输程序FTA的零日漏洞,访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。壳牌公司使用FTA来“安全地”传输大文件。
该公司在网站上发表的一份公开声明中披露了这起攻击事件,并表示这起事件只影响了Accellion FTA设备,该设备用于安全传输大数据文件。“由于文件传输服务与壳牌数字基础设施的其他部分是隔离的,因此没有证据表明壳牌的核心IT系统受到任何影响。”
类别鉴定:0day漏洞利用
9、新APT组织出现,其目标为俄罗斯的燃料和能源综合体以及航空业。
2021年10月,一个名为ChamelGang新的APT组织出现,他们专门针对俄罗斯的燃料和能源综合体以及航空行业,利用已知漏洞,如微软交换服务器的ProxyShell,并利用现有恶意软件和新型恶意软件来破坏网络。
该组织于2021年3月首次出现,一直在利用ProxyShell和各种恶意软件从受损网络窃取数据。安全人员在报告中写道,尽管攻击者主要针对俄罗斯机构,但迄今为止,他们已经袭击了10个国家的目标。
类别鉴定:漏洞利用与恶意软件
10、美国佛罗里达水处理工厂发现水坑攻击
2021年2月,美国佛罗里达州奥尔德斯玛市的市政水处理系统遭黑客入侵,攻击者试图将氢氧化钠(NaOH)的浓度提高到极其危险的水平。(氢氧化钠常见于家用清洁剂,一旦发生高浓度摄入很可能引发危险。但只要浓度较低,氢氧化钠又能帮助水处理设施快速调节供水pH值并去除重金属。
攻击者利用了TeamViewer远程监视和控制系统,成功入侵。由于密码共享和其他不良的安全做法,黑客很容易获得访问权限并开始在HMI中进行未经授权的更改。入侵者在系统内只用了3到5分钟,就将氢氧化钠含量从百万分之100更改为百万分之11100。幸运的是,工作人员注意到鼠标在屏幕上(自行)移动,立即介入干预、撤销了上述危险操作,避免了灾难。
类别鉴定:远程控制
数字化在带来巨大发展红利的同时,也带来了一定的安全风险,对于一些长期依赖设备来实现生产和发展的企业来说,由于设备长期持续运转,缺少维护更新,使得这些老旧设备极易遭受全球范围内的各种网络攻击。据统计,在各行业遭受的攻击中,能源行业遭受攻击次数最多,其次是金融、政府、制造业等。
在这些攻击中,攻击者的攻击手段和攻击技术超七成都是来自内存层面,依据冯·诺依曼体系结构,任何攻击行为都离不开CPU和内存,任何数据都需要经过CPU进行运算,其数据都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全方案可以有效防御所有威胁。
因此,从内存层面出发,遵循以底层技术来实现上层安全能力建设的思路,才能更好地实现全面高效的安全防护。
面对高级威胁、未知威胁等新型攻击方式,安芯网盾创新自主研发的内存保护技术,具有无法比拟的天然优势,从被动补救转向主动防御,从“亡羊补牢”转为“未雨绸缪”。
基于P2DR模型设计的内存保护系统,以策略为核心建立了四大高级威胁防御核心优势:
1、具备实时检测及响应能力
不同于事后检测安全产品,内存保护系统对系统运行的程序进行实时监控,结合行为关联分析技术,一旦发现威胁时可实时响应,实现真正的运行时安全。
2、具备未知漏洞检测能力
通过内存虚拟化技术,监控内存恶意访问行为,实时感知内存数据流动和代码执行情况,实现对未知漏洞的检测能力。
3、具备高检出低误报特点
基于系统底层技术,突破系统的一些限制,可细粒度监控程序的各种行为,结合高质量的知识库体系建设,可准确识别威胁。
4、无文件攻击防护效果更佳
在脚本解释器内部监视脚本行为动作,不惧各类脚本层面的绕过技术,还可有效避开脚本解释器自身行为“噪音”干扰,检测更精准。