隨著電力行業(yè)對網絡的依賴程度越來越高，網絡攻擊對企業(yè)的安全運營造成巨大的威脅。電力系統(tǒng)與現(xiàn)代社會生產生活緊密相連，一旦出現(xiàn)斷電，后果將不堪設想。對電力行業(yè)的攻擊類型分為勒索病毒、DDoS攻擊、APT攻擊、漏洞、惡意軟件等。除普通的電力公司之外，核電廠也是網絡攻擊的重點目標，核電廠一旦被攻擊，可能會產生員工或商業(yè)秘密信息的丟失、反應堆關閉或者實體的損壞等嚴重后果。

　　《安全內參》對跟蹤到的電力行業(yè)網絡安全事件進行梳理，篩選出近三年比較有代表性的十個事件，為相關電力企業(yè)和監(jiān)管部門提供參考，防患于未然。

　　一、巴西電力公司遭Sodinokibi勒索軟件攻擊

　　2020年6月，巴西的電力公司Light S.A被黑客勒索1400萬美元的贖金，AppGate的安全研究人員分析認為是Sodinokibi勒索軟件。Sodinokibi可在RaaS(勒索軟件即服務)模式下使用，它可能由與Pinchy Spider(即GandCrab勒索軟件背后的組織)有聯(lián)系的威脅者操縱。同時，研究人員還發(fā)現(xiàn)該軟件可以通過利用Windows Win32k組件中CVE-2018-8453漏洞的32位和64位漏洞來提升特權。此外，該勒索軟件系列沒有全局解密器，這意味著需要攻擊者的私鑰才能解密文件。

　　二、歐洲能源巨頭EDP公司遭勒索軟件攻擊

　　2020年4月，葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊，贖金高達1090萬美金。攻擊者聲稱已經獲取了公司10TB的敏感數據文件，如果EDP不支付贖金，那么他們將公開泄露這些數據。根據EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關賬單、合同、交易、客戶和合作伙伴的機密信息。目前針對Ragnar Locker勒索軟件加密文件尚無法解密。

　　三、印度核電站內網感染惡意軟件

　　2019年9月，印度核電公司(the Nuclear Power Corporation of India Ltd，簡稱NPCIL)證實，印度泰米爾納德邦的Kudankulam核電站(簡稱KNPP)內網感染了惡意軟件。據了解，該軟件由知名朝鮮黑客組織Lazarus開發(fā)，屬于Dtrack后門木馬的變體。NPCIL的聲明顯示，Dtrack變體僅僅感染了核電站的管理網絡，并未影響到用于控制核反應堆的關鍵內網。有報道指出，就在幾天前，該核電站意外關閉了一座反應堆。雖然有關機構極力否認該事件和惡意軟件的入侵有關，但時間上的巧合仍然讓人不可避免地將二者聯(lián)系在一起。

　　四、烏克蘭某核電廠發(fā)生重大網絡安全事故

　　2019年7月，位于烏克蘭南部的Yuzh-noukrainsk市附近的核電站出現(xiàn)嚴重安全事故，數名雇員將核電廠內部網絡連上了公共網絡，以供其挖掘加密貨幣。此次事故被列為國家機密泄露事故，調查人員已經開始研究黑客是否可利用聯(lián)網設備入侵核電廠內網，并竊取機密信息。

　　五、委內瑞拉電力系統(tǒng)兩年內遭遇多次網絡攻擊導致大規(guī)模停電事故

　　2019年3月7日-3月9日，連續(xù)三天，委內瑞拉電力系統(tǒng)遭到網絡攻擊出現(xiàn)3次大范圍停電事件，全國大部分州都受到了影響。委政府官員指出，停電原因是古里水電站遭反對派蓄意破壞。

　　2019年7月，委內瑞拉首都加拉加斯及10余個州再發(fā)生大范圍停電，地區(qū)供水和通信網絡也因此受到極大影響。停電原因與2019年3月的相同。

　　2020年3月，委內瑞拉遭受嚴重停電，影響多個州和城市，導致互聯(lián)網連接中斷。

　　2020年5月，委內瑞拉國家電網765干線遭攻擊，造成全國大面積停電。除首都加拉加斯外，全國11個州均發(fā)生停電。

　　六、南非約翰內斯堡電力公司遭勒索軟件攻擊

　　2019年7月，南非最大的城市約翰內斯堡發(fā)生了一起針對City Power電力公司的勒索軟件攻擊，導致若干居民區(qū)的電力中斷。該病毒加密了所有數據庫、應用程序、Web Apps、以及官方網站。攻擊使得預付費用戶無法買電、充值、辦理發(fā)票，或訪問City Power的官方網站。根據網絡攻擊的類型和嚴重程度，受影響的服務和網絡的完全清理大概需要數周時間。

　　七、黑客利用思科防火墻中的已知漏洞針對美國電力公司發(fā)起拒絕服務 (DoS) 攻擊

　　2019年3月，黑客利用思科防火墻中的已知漏洞針對美國猶他州的可再生能源電力公司發(fā)起了拒絕服務 (DoS) 攻擊。事件影響了加利福尼亞州(克恩縣和洛杉磯縣)、猶他州(鹽湖縣)和懷俄明州(Converse County)。北美電力可靠性公司(NERC)在9月表示，該安全漏洞影響了受害者使用的防火墻的Web界面，攻擊者在這些設備上觸發(fā)了DoS條件，導致它們重新啟動。這導致該組織的控制中心和其各個站點的現(xiàn)場設備之間的通信中斷。

　　八、法國公司Ingerop遭網絡攻擊導致費森海姆核電站(Fessenheim)敏感數據泄露

　　2018年6月，黑客竊取了法國公司Ingerop逾65G文件，這些文件包括核電站計劃和千余名Ingerop工作人員的個人信息等內容。部分文件與法國最早的核電站費森海姆核電站(Fessenheim)相關，該核電站位于德國邊境，將于2022年關閉。若此類數據落入惡人之手，將把該核電站及公司員工置于恐怖主義陰謀等諸多威脅之下。

　　九、西門子設備存在嚴重漏洞，導致變電站易遭攻擊

　　2018年3月，研究人員發(fā)現(xiàn)西門子繼電保護設備存在多個嚴重漏洞，可導致變電站和其它供電設施易遭黑客攻擊。

　　高危漏洞 CVE-2018-4840可導致遠程未經認證的攻擊者修改設備配置并覆寫訪問密碼。

　　中危漏洞 CVE-2018-4839可導致本地或網絡攻擊者通過攔截網絡流量或從目標設備獲取數據的方式恢復訪問授權密碼。

　　高危漏洞 CVE-2018-4838可導致未經認證的攻擊者把設備上的固件降級為包含已知缺陷的版本。

　　十、俄黑客對美國核電站和供水設施攻擊事件

　　2018年3月，美國計算機應急準備小組發(fā)布了一則安全通告TA18-074A，詳細描述了俄羅斯黑客針對美國某發(fā)電廠的網絡攻擊事件。

　　通告稱俄黑客組織通過

　　(1)收集目標相關的互聯(lián)網信息和使用的開源系統(tǒng)的源代碼;

　　(2)盜用合法賬號發(fā)送魚叉式釣魚電子郵件;

　　(3)在受信任網站插入JavaScrip或PHP代碼進行水坑攻擊;

　　(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;

　　(5)構建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。

　　本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關計算機的詳細信息，并在該計算機上保存有關用戶的信息。

　　電力行業(yè)是關鍵基礎設施的重要組成部分，不僅關系到民眾日常生活，同樣對工控領域、甚至對國家安全都影響深遠。因此，重點加強電網設施的安全建設及電力企業(yè)內部的安全防護顯得尤為重要。

　　當前國際形勢日益嚴峻，對于像電力、石油、天然氣等關乎國家安全的能源行業(yè)，加大信息技術應用創(chuàng)新同樣至關重要。

　　文章來源：安全內參