原創(chuàng)作者 | 何躍鷹，孫中豪

石油天然氣行業(yè)作為重要的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，關(guān)系國(guó)計(jì)民生命脈，但也正面臨著越來(lái)越多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文盡可能完整地搜集整理了近年來(lái)發(fā)生在石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件，通過(guò)時(shí)間順序、地域分布、被攻擊系統(tǒng)和攻擊手段等方式分類，一方面是期望能一定程度的提升行業(yè)參與者的網(wǎng)絡(luò)安全意識(shí)，另一方面是期望以編年體的方式呈現(xiàn)行業(yè)網(wǎng)絡(luò)攻擊的演化規(guī)律。

通過(guò)對(duì)所搜集的21起石油天然氣行業(yè)網(wǎng)絡(luò)安全事件的分析，至少有以下三點(diǎn)結(jié)論是可以確定的：

一、和平時(shí)期面向石油天然氣行業(yè)的網(wǎng)絡(luò)攻擊以勒索軟件為主，但國(guó)家對(duì)抗?fàn)顟B(tài)下拒絕服務(wù)攻擊明顯增多。在全部21起攻擊中，勒索軟件占到8起。在俄烏沖突爆發(fā)的2022年，統(tǒng)計(jì)到的6起石油行業(yè)網(wǎng)絡(luò)安全事件全部發(fā)生在歐洲;2022年之外的其他年份，在發(fā)生15起針對(duì)石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件中，歐洲只占到4起。黑客組織明確聲明因政治軍事因素發(fā)動(dòng)的網(wǎng)絡(luò)攻擊一共6起，都是拒絕服務(wù)或者數(shù)據(jù)竊取，反而沒(méi)有一個(gè)是勒索攻擊。

二、被攻擊系統(tǒng)涵蓋行業(yè)上下游各個(gè)環(huán)節(jié)，但以直接面向用戶的系統(tǒng)居多。在所有的統(tǒng)計(jì)中，被攻擊系統(tǒng)包括了網(wǎng)站、加油站、煉油產(chǎn)、石油管道、SIS系統(tǒng)、SCADA、云服務(wù)、辦公系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、油輪、石油港口設(shè)備、數(shù)據(jù)中心、APP等。但是針對(duì)加油站、網(wǎng)站、IT服務(wù)等直接面向用戶的系統(tǒng)攻擊占到了67%。

三、一旦網(wǎng)絡(luò)攻擊影響到正常業(yè)務(wù)開(kāi)展，影響范圍和影響程度將超出企業(yè)控制。例如，2021年5月，美國(guó)最大的成品油管道系統(tǒng)科洛尼爾管道(Colonial Pipeline)遭到攻擊，迫使該公司關(guān)閉了5500英里長(zhǎng)的管道，美國(guó)汽油期貨上漲一度超4%。2023年12月，黑客攻擊導(dǎo)致伊朗全國(guó)70%的加油站服務(wù)中斷，這次網(wǎng)絡(luò)攻擊對(duì)首都德黑蘭造成了重大影響。

附表：近年來(lái)石油天然氣行業(yè)網(wǎng)絡(luò)安全時(shí)間匯總

2017年5月，WannaCry 勒索病毒全球大爆發(fā)，至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問(wèn)題。其中包括巴西國(guó)有石油公司Petrobras和西班牙天然氣公司。據(jù)報(bào)道，這兩家公司關(guān)閉了計(jì)算機(jī)作為應(yīng)對(duì)網(wǎng)絡(luò)攻擊的措施。國(guó)內(nèi)也有中石油加油站遭到攻擊，其支付系統(tǒng)被攻擊后顧客被迫通過(guò)現(xiàn)金支付。

2017年12月，全球最大的石油公司沙特阿美遭到TRITON病毒攻擊而導(dǎo)致安全儀表系統(tǒng)被迫關(guān)閉。這種名為T(mén)RITON(也被稱為trisis或Hatman)的病毒，利用了施耐德電氣的關(guān)鍵安全系統(tǒng)之一Triconex的漏洞，是全球首個(gè)面向工控安全儀表系統(tǒng)的病毒，通過(guò)與SIS系統(tǒng)的直接通信交互，超越了其他工業(yè)網(wǎng)絡(luò)攻擊。SIS系統(tǒng)是工業(yè)設(shè)施自動(dòng)化安全防護(hù)的最后一道防線，該系統(tǒng)旨在防止設(shè)備故障和爆炸或火災(zāi)等災(zāi)難性事件。Triton可對(duì)安全儀表系統(tǒng)邏輯進(jìn)行重編輯，使安全儀表系統(tǒng)產(chǎn)生意外動(dòng)作，對(duì)正常生產(chǎn)活動(dòng)造成影響;可使安全儀表系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險(xiǎn)時(shí)無(wú)法及時(shí)實(shí)行和啟動(dòng)安全保護(hù)機(jī)制，從而對(duì)生產(chǎn)活動(dòng)造成影響;還可以對(duì)DCS實(shí)施攻擊，并通過(guò)安全儀表系統(tǒng)與DCS的聯(lián)合作用，對(duì)工業(yè)設(shè)備、生產(chǎn)活動(dòng)及人員健康造成影響。

2020年1月，烏克蘭能源勘探生產(chǎn)公司 Burisma Holdings遭到定向釣魚(yú)攻擊。Burisma Holdings 是一家位于烏克蘭基輔的能源勘探和生產(chǎn)公司。在 2019 年 11 月初開(kāi)始的定向網(wǎng)絡(luò)釣魚(yú)攻擊中，攻擊者通過(guò)竊取 Burisma Holdings 及其下屬子公司和合作伙伴公司員工的電子郵件憑證，利用電子郵件賬戶中的數(shù)據(jù)以及操作權(quán)限進(jìn)行網(wǎng)絡(luò)釣魚(yú)活動(dòng)。為了確保了釣魚(yú)活動(dòng)的成功，攻擊者將使用的木馬偽裝成 Burisma Holdings 常用業(yè)務(wù)相關(guān)應(yīng)用程序，以迷惑 Burisma Holdings 員工。對(duì)這場(chǎng)針對(duì) Burisma Holdings 的攻擊活動(dòng)的戰(zhàn)術(shù)、技術(shù)和過(guò)程(TTP)進(jìn)行分析發(fā)現(xiàn)，攻擊者專注于仿冒憑據(jù)，主要在 Ititch、NameSilo、namebeach 和 Yandex 注冊(cè)惡意域名。

2020年4月，Agent Tesla間諜軟件被用于針對(duì)能源行業(yè)的魚(yú)叉攻擊。攻擊者利用精心偽造的電子郵件投遞 Agent Tesla 間諜軟件。Agent Tesla 間諜軟件自 2014 年以來(lái)不斷改進(jìn)和更新，可通過(guò)公開(kāi)渠道購(gòu)買。3 月 31 日，攻擊者以埃及國(guó)有石油公司 Enppi 之名發(fā)送電子郵件，郵件中邀請(qǐng)收件方為某真實(shí)存在的項(xiàng)目設(shè)備和材料投標(biāo)，并標(biāo)明投標(biāo)截止日期。對(duì)了解該項(xiàng)目的石油和天然氣行業(yè)人士而言，極易被引誘打開(kāi)郵件中用于投遞 Agent Tesla 間諜軟件的惡意附件，該間諜軟件會(huì)收集各種類型的憑據(jù)等敏感信息，受害國(guó)家包括馬來(lái)西亞，伊朗和美國(guó)。第二次攻擊發(fā)生在 4 月 12 日，攻擊者以某油輪之名向收件人索要預(yù)估港口使用費(fèi)等信息，該油輪真實(shí)存在，受害者大部分為菲律賓的貨運(yùn)公司。

2020年4月，葡萄牙跨國(guó)能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊，攻擊者索要1580比特幣贖金(折合約1090萬(wàn)美元/990萬(wàn)歐元)。在這次攻擊過(guò)程中，Ragnar Locker勒索軟件的幕后黑手聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件，如果EDP不支付贖金，那么他們將在公開(kāi)泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息。

2020年6月，全球最大的石油和天然氣公司之一雪佛龍公司(Chevron Corporation)遭到Ekans 勒索軟件攻擊，雖然攻擊細(xì)節(jié)并未公開(kāi)，但據(jù)信攻擊者通過(guò)利用VPN 軟件中的漏洞獲取了雪佛龍的系統(tǒng)訪問(wèn)權(quán)限。EKANS是一種用Go編程語(yǔ)言編寫(xiě)的混淆勒索軟件變體，攻擊目標(biāo)已經(jīng)覆蓋了能源(巴林石油、ENEL能源)、汽車制造(本田汽車)、醫(yī)療設(shè)備經(jīng)銷等多個(gè)工業(yè)行業(yè)，打擊工業(yè)控制系統(tǒng)已成為其重要目的。

2021年3月，能源巨頭殼牌公司(Shell)遭遇黑客攻擊，導(dǎo)致數(shù)據(jù)泄露。攻擊者利用安全廠商Accellion的文件傳輸程序FTA的零日漏洞，訪問(wèn)了一些個(gè)人數(shù)據(jù)以及屬于殼牌利益相關(guān)方和子公司的數(shù)據(jù)。殼牌公司使用FTA來(lái)“安全地”傳輸大文件。該公司在網(wǎng)站上發(fā)表的一份公開(kāi)聲明中披露了這起攻擊事件，并表示這起事件只影響了Accellion FTA設(shè)備，該設(shè)備用于安全傳輸大數(shù)據(jù)文件?！坝捎谖募鬏敺?wù)與殼牌數(shù)字基礎(chǔ)設(shè)施的其他部分是隔離的，因此沒(méi)有證據(jù)表明殼牌的核心IT系統(tǒng)受到任何影響?！?/span>

2021年4月，美國(guó)新英格蘭最大的能源供應(yīng)商-Eversource遭遇數(shù)據(jù)泄露。Eversource擁有超過(guò)6,459英里的天然氣管道。此前客戶的個(gè)人信息在一個(gè)不安全的云服務(wù)器上被曝光。Eversource向客戶發(fā)出警告，一個(gè)不安全的云存儲(chǔ)服務(wù)器暴露了他們的姓名、地址、電話號(hào)碼、社會(huì)安全號(hào)碼、服務(wù)地址和帳戶號(hào)碼。該問(wèn)題源自Eversource在3月16日進(jìn)行的一次安全檢查，他們發(fā)現(xiàn)一個(gè)“云數(shù)據(jù)存儲(chǔ)文件夾”配置錯(cuò)誤，導(dǎo)致任何人都可以訪問(wèn)其中的內(nèi)容。

2021年5月，美國(guó)最大的成品油管道系統(tǒng)：科洛尼爾管道(Colonial Pipeline)遭到名為Darkside的黑客組織的勒索攻擊。Darkside入侵科洛尼爾管道運(yùn)輸公司的網(wǎng)絡(luò)后，獲取了大量數(shù)據(jù)，并以此威脅要求440萬(wàn)美元贖金，迫使該公司關(guān)閉了5500英里長(zhǎng)的管道，并且關(guān)閉某些系統(tǒng)以便避免繼續(xù)遭受攻擊。受到成品油管道關(guān)閉的消息影響，國(guó)際油價(jià)一度波動(dòng)加劇，美國(guó)汽油期貨上漲一度超4%。Colonial Pipeline 公司作為美國(guó)最大的燃油/管道商，發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事件后，進(jìn)行了快速的應(yīng)急響應(yīng)處理，通過(guò)相應(yīng)措施避免二次損害，但是仍然可以看出該公司的 IT 和 OT 網(wǎng)絡(luò)沒(méi)有絕對(duì)隔離是導(dǎo)致事件危害規(guī)模巨大的主要因素。

2022年1月，黑客攻擊歐洲港口石油設(shè)施，因遭到勒索軟件的攻擊，位于荷蘭阿姆斯特丹和鹿特丹、比利時(shí)安特衛(wèi)普的幾處港口的石油裝卸和轉(zhuǎn)運(yùn)受阻。截至當(dāng)?shù)貢r(shí)間2月4日，至少有7艘油輪被迫在安特衛(wèi)普港外等候，無(wú)法靠港，油價(jià)已飆至7年新高。

2022年3月，國(guó)際黑客組織“匿名者”(Anonymous)聲稱入侵了俄羅斯能源巨頭——俄羅斯石油公司位于德國(guó)的分公司Rosneft Deutschland GmbH，并從中竊取了 20 TB 的數(shù)據(jù)，盡管該公司的系統(tǒng)受到了影響，但公司的業(yè)務(wù)或供應(yīng)狀況暫未受到影響。Rosneft Deutschland GmbH在過(guò)去三年中負(fù)責(zé)向德國(guó)進(jìn)口約四分之一的原油。黑客團(tuán)體表示攻擊的起因源于俄羅斯對(duì)烏克蘭的入侵，以及對(duì)該公司的運(yùn)作、德國(guó)前總理格哈德·施羅德與普京的關(guān)系感到不滿。

2022年3月，東歐大型加油站服務(wù)商Rompetrol遭到Hive勒索軟件攻擊，影響到了公司大部分IT服務(wù)，官網(wǎng)、APP全部下線，顧客只能使用現(xiàn)金和刷卡支付。據(jù)悉，攻擊者還入侵了Petromdia煉油廠的內(nèi)部IT網(wǎng)絡(luò)，但運(yùn)營(yíng)未受到影響。

2022年4月，俄羅斯國(guó)家天然氣公司Gazprom的石油部門(mén)Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉。該網(wǎng)站上有一份來(lái)自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明，這份聲明中對(duì)俄羅斯向?yàn)蹩颂m派遣數(shù)千名士兵的決定發(fā)表了批評(píng)言論，隨后該網(wǎng)站就被迫停止運(yùn)營(yíng)。

2022年7月，立陶宛能源公司Ignitis Group遭受了十年來(lái)最大的網(wǎng)絡(luò)攻擊，大量分布式拒絕服務(wù)(DDoS)攻擊破壞了其數(shù)字服務(wù)和網(wǎng)站。隨后，親俄羅斯的黑客組織Killnet在其Telegram頻道表示對(duì)此次攻擊負(fù)責(zé)，這也是該組織在立陶宛發(fā)起的一系列攻擊中的最新一次，原因是該國(guó)在與俄羅斯的戰(zhàn)爭(zhēng)中支持烏克蘭。

2022年7月，勒索軟件組織ALPHV聲稱對(duì)盧森堡天然氣管道和電力網(wǎng)絡(luò)運(yùn)營(yíng)商Creos 遭受的網(wǎng)絡(luò)攻擊負(fù)責(zé)。Creos的母公司Encevo在五個(gè)歐盟國(guó)家經(jīng)營(yíng)能源業(yè)務(wù)，該公司于7月25日宣布，他們?cè)?月22日至23日遭受了網(wǎng)絡(luò)攻擊。雖然網(wǎng)絡(luò)攻擊導(dǎo)致Encevo和Creos的客戶門(mén)戶站點(diǎn)不可用，但所提供的服務(wù)并未中斷。

2023年6月，加拿大石油巨頭被黑影響全國(guó)加油站：支付或癱瘓，僅支持現(xiàn)金。加拿大石油公司(Petro-Canada)位于全國(guó)各地的加油站受到技術(shù)故障影響，客戶無(wú)法使用信用卡或獎(jiǎng)勵(lì)積分支付油費(fèi)。故障原因是母公司森科能源遭遇網(wǎng)絡(luò)攻擊。森科能源表示已采取措施應(yīng)對(duì)此次攻擊，并通報(bào)有關(guān)部門(mén)。在事件解決之前，公司與客戶和供應(yīng)商的交易將受到負(fù)面影響。

2023年8月，以色列最大煉油廠遭黑客攻擊網(wǎng)站無(wú)法訪問(wèn)。以色列最大的煉油廠運(yùn)營(yíng)商BAZAN集團(tuán)的網(wǎng)站在世界大部分地區(qū)無(wú)法訪問(wèn)，攻擊者聲稱黑掉了該集團(tuán)的網(wǎng)絡(luò)系統(tǒng)。伊朗黑客宣稱在周末攻擊了BAZAN的網(wǎng)絡(luò)，并泄露了BAZAN的SCADA系統(tǒng)的屏幕截圖，這些系統(tǒng)用于監(jiān)控和操作工業(yè)控制系統(tǒng)，其中包括“火炬氣回收裝置”、“胺再生”系統(tǒng)、石化“分流器部分”的圖表和PLC代碼。

2023年8月，俄羅斯黑客組織襲擊烏克蘭，致200多家加油站深夜癱瘓。KillNet黑客組織自豪地聲稱對(duì)烏克蘭三大加油站網(wǎng)絡(luò)的網(wǎng)站遭受的有針對(duì)性的網(wǎng)絡(luò)攻擊負(fù)責(zé)。據(jù)稱其對(duì)200個(gè)加油站進(jìn)行了網(wǎng)絡(luò)攻擊并導(dǎo)致了癱瘓。這些加油站網(wǎng)絡(luò)攻擊再次加劇了俄羅斯和烏克蘭之間持續(xù)的數(shù)字沖突。

2023年11月，勒索軟件組織BlackCat(ALPHV)將臺(tái)灣中國(guó)石油化學(xué)工業(yè)開(kāi)發(fā)股份有限公司(中石化、CPDC)添加到其Tor泄露網(wǎng)站的受害者名單中。該泄露涉及的數(shù)據(jù)大小為41.9GB。

2023年12月，黑客攻擊導(dǎo)致伊朗全國(guó)加油站業(yè)務(wù)中斷。據(jù)路透社報(bào)道，網(wǎng)絡(luò)攻擊造成了伊朗全國(guó)范圍內(nèi)的加油站業(yè)務(wù)中斷，導(dǎo)致伊朗全國(guó)70%的加油站服務(wù)中斷。這次網(wǎng)絡(luò)攻擊對(duì)首都德黑蘭造成了重大影響，許多加油站被迫手動(dòng)操作，親以色列的黑客組織“Predatory Sparrow“(波斯語(yǔ)為Gonjeshke Darande)聲稱對(duì)此次攻擊負(fù)責(zé)。

2024年1月25日，烏克蘭國(guó)家石油天然氣公司(Naftogaz)當(dāng)天發(fā)布消息稱，該公司一個(gè)數(shù)據(jù)中心遭受了大規(guī)模網(wǎng)絡(luò)攻擊。公司網(wǎng)站和呼叫中心無(wú)法運(yùn)行。烏克蘭國(guó)有石油天然氣股份公司是烏克蘭最大的企業(yè)之一，歐洲市場(chǎng)上可靠的天然氣供應(yīng)商，也是國(guó)內(nèi)燃料和能源領(lǐng)域的龍頭企業(yè)，自1998年開(kāi)始向居民、企業(yè)和國(guó)家機(jī)構(gòu)供應(yīng)天然氣和石油產(chǎn)品。

轉(zhuǎn)載來(lái)源：CNCERT國(guó)家工程研究中心