1 国外安全事件
1.1 2010年之前
1、澳大利亚水处理厂污水泄露事故:
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师 Vitek Boden因不满工作续约被拒而蓄意报复所为。这位前工程师通过一台手提电脑和一个无线发射器控制150个污水泵站。前后三个多月,总计有 100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
2、美国Davis-Besse核电站受到Slammer蠕虫攻击事件
2003年1月,美国俄亥俄州Davis-Besse核电站和其他电力设备受到SQL Slammer蠕虫病毒攻击,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。经调查发现,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个无防护的链接,病毒就是通过这个链接进入核电站网络的。
3、法国一化工厂APC服务器感染nachi病毒事件
法国一化工厂高级过程控制(APC)服务器(Windows 2000操作系统)因感染nachi病毒与生产网络断开导致生产中断5小时。
4、美国某化工厂的一个DCS控制系统感染震荡波蠕虫病毒事件
2004年,美国某化工厂的一个DCS控制系统被震荡波蠕虫病毒通过连接在防火墙的445端口入侵,该系统因被感染而失去控制超过5小时。
5、美国Browns Ferry核电站受到网络攻击事件
2006年8月,美国阿拉巴马州的 Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD 和 PLC可以在以太局域网中接受广播式数据通信。但是,由于当天核电站局域网中出现了信息洪流,VFD 和 PLC无法及时处理,致使两设备瘫痪。
6、宾夕法尼亚州水公司遭黑客入侵
2006年美国宾夕法尼亚州水公司遭黑客通过互联网成功入侵水公司雇员的电脑,远程利用该电脑在公司的电脑系统中安装间谍软件和病毒。公司确认远程攻击事件,修改所有的系统密码。
7、美国加州运河系统被入侵
2007年11月15日运河管理局前电气主管迈克尔在水调度SCADA系统中安装未经授权的软件。他有意访问和损坏管理局电脑系统将萨克拉门托河调水用于其他事项,如农场灌溉,他被控“擅自故意损害一个受保护的计算机系统”。
8、美国Hatch核电厂自动停机事件
2008年3月,美国乔治亚州的 Hatch核电厂2号机组发生自动停机事件。当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
9、美国西弗吉尼亚州Bayer Cropscience 化工厂发生爆炸和火灾事故事件
2008年8月美国西弗吉尼亚州Bayer Cropscience 化工厂发生爆炸和火灾事故,导致两名运营商被炸死。爆炸发生前,化工厂把霍尼韦尔工业控制系统升级替代为完全不同的西门子系统,工厂安全管理制度存在明显失误,运营商未接受充分的操作培训,操作规范缺失。
1.22010年-2015年
10、震网事件
2010年,伊朗据布什尔核电站发生震网病毒事件。有关专家分析,震网事件是由美国军方和以色列军方共同策划的一起针对伊朗布什尔核电站浓缩铀进行的一次有组织、有计划、有蓄谋的攻击。利用社工,以及windows和西门子wincc 的漏洞,对西门子300系统PLC系统进行了逻辑炸弹攻击,使得布什尔核电站离心机控制系统遭受破坏,导致核电站延期运行,损失难以估量。
11、Duqu病 毒(Stuxnet 变种) 事件
2011年安全专家检测到 Stuxnet 病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加 聪明、强大。与 Stuxnet不同的是, Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。前不久,已有企业宣称他们的设施中已经发现有Duqu代码。目前,Duqu僵尸网络已经完成了它的信息侦测任务,正在悄然等待中。没人知晓下一次攻击何时爆发。
12、Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通信网络设施,包括电力、雷达、控制中心等。卡巴斯基实验室认为,Flame火焰病毒最早诞生于2010年,迄今为止还在不断发展变化中。该病毒结构非常复杂,综合了多种网络攻击 和网络间谍特征。一旦感染了系统,该病毒就会实施一系列操作,如监 听网络通信、截取屏幕信息、记录音频通话、截获键盘信息等;所有相关数据都可以远程获取。可以说,Flame病毒的威力大大 超过了目前所有已知的网络威胁。
13、美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统被攻击事件
据英国《每日邮报》2011年11月21日报道,美国基础设施控制体系专家称,黑客日前通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。
美国联邦调查局和国土安全部接入调查,成功追踪到位于俄罗斯的计算机。伊利诺伊州恐怖主义与情报中心公布报告称,黑客黑掉了一家美国公司的数据采集与监控系统软件(SCADA),然后偷到供水系统的用户名和密码,进而侵入。这种软件也在核电站以及钻油平台等关键设施中使用。
14、美国计算机故障造成原污水泄漏
2012年大约2百万加仑未经处理污水排入加利福尼亚圣伊西德罗提华纳的河流,PLC关闭泵站失败,控制失灵。 这导致污水直接排入提华纳河。格兰特海洋生物学家在三个城市河口的沉积物,包括提华纳河河口帝国海滩发现抗生素耐药细菌, 最后升级花费9千2百万美元让污染低于法定限值。
15、全球1018座发电站感染“Dragonfly”恶意程序事件
2014年7月赛门铁克近日曝光了名为“Dragonfly”的集团性质恶意程序活动,该程序允许远程对数千座电站进行访问。赛门铁克表示攻击者所使用的恶意程序目前仅对发电站系统进行侦查,但是未来当对系统了解充分并决定发起攻击的时候就能通过这些恶意程序向发电站进行攻击。受感染发电站为1018座,覆盖国所涉及的系统包括燃料供应和管道供应等等,可以预见一旦发生攻击对于国家的整个电力系统供应将会产生非常严重的影响。
16、乌克兰发生首例由恶意代码引发的停电事故
2015年乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电,成千上万户家庭受到此次停电的影响。这次大规模电力中断使得近一半的乌克兰伊万诺-弗兰科夫斯克地区的家庭陷入黑暗,乌克兰新闻通讯社TSN 报道了此次大规模停电事件。来自杀毒软件提供商ESET 公司的研究人员已经证实,乌克兰电力部门所感染的是一款名为“BlackEnergy(黑暗力量)”的恶意软件,该软件最初于2007 年被发现,并通过不断地更新添加了许多新功能,其中包括使被感染的计算机无法重启的功能。
1.32015年-2020年
17、以色列电网勒索事件
在CyberTech2016大会上,以色列基础设施、能源、水利的负责人Steinitz提到,以色列国家电网在2016年1月25号受到了网络攻击。据以色列时报报道“已经成功识别出该病毒,并有相应的软件进行处理”不过Steinitz 也提到“我们需要关停很多电力系统已授权的电脑”。
这并不是一场网络攻击,只是普通的勒索软件,这起事件的始作俑者只关心钱,并不在乎目标是谁。我们之所以这样说是因为最近乌克兰电网受攻击事件让每个人都提心吊胆。乌克兰的电网事件中,攻击者使用BlackEnergy恶意软件渗透到乌克兰Prykarpattiaoblenergo 当地供电公司。事件发生在圣诞节前后,恶意软件导致了部分电网关停,造成了严重的破坏。
18、BlackEnergy被曝再攻击乌克兰矿业和铁路系统
2016年2月,趋势科技在其发布的一篇博文声称:“与针对乌克兰矿业公司发动的攻击一样,我们还目睹KillDisk 可能被用来攻击隶属乌克兰全国铁路系统的一家大型乌克兰铁路公司。这似乎是乌克兰电力公司感染造成的唯一余波。然而,我们没有证据表明BlackEnergy 出现在铁路系统上,只能说它可能出现在网络的某个地方。”
专家们对这起攻击的几种原因进行了阐释; 最合理的一种说法是具有政治动机的持续攻击者采取的攻势。旨在攻击乌克兰关键基础设施,破坏该国稳定性。
19、黑客组织修改化学物含量参数事件
2016年一个黑客组织入侵了一家废水处理公司的系统,无意中修改处理水中化学物的含量参数,因触发化合物异常安全警报而被发现。在调查中还发现了一个意料之外的情况, KWC公司只有一个员工管理AS400系统,也就是说当该名员工休息时候,该系统的防御会变得异常脆弱。
20、BlackEnergy被曝再攻击乌克兰矿业和铁路系统
2015年12 月乌克兰停电事件发生后,BlackEnergy 备受关注。BlackEnergy木马软件主要是攻击数据采集与监控系统(SCADA)的安全。其最新变种KillDisk组件可以擦除硬盘内容、让系统无法工作。乌克兰政府指控俄罗斯参与了导致停电事件的攻击,不过进一步的分析表明,BlackEnergy恶意软件并不直接对停电事件负责。据趋势科技公司宣布,其在乌克兰一家矿业公司和铁路运营商的系统上发现了BlackEnergy 和KillDisk样本。安全专家注意到, 这家矿业公司的系统还感染了KillDisk 的多个变种。这些样本与感染乌克兰电力公司的KillDisk 组件具有同样的作用。
21、瑞典国家空中管制系统遭到网络攻击
据挪威网站Aldrimer.no 报道, 瑞典当局近日指责俄罗斯政府2016年11月4日针对该国的空中交通管制基础设施发动网络攻击。当天瑞典阿兰达机场、维特国际机场、布鲁玛机场等多个机场不得不取消了国内及国际航班。虽然瑞典官员此前发表声明称这次事件或与太阳耀斑有关,但他们已暗中通知北约关于俄罗斯发起此次网络攻击的细节。
22、德国Gundremmingen核电站计算机系统发现恶意程序事件
德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测,关闭了发电厂,虽然仍然对外表示,并没有发生什么严重的问题。Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。
据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。核电站表示,此设施的角色是装载和卸下核电站Block B的核燃料,随后将旧燃料转至存储池。
23、“永恒之蓝”、“WannaCry”勒索病毒全球爆发。
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、石油石化、发电、钢铁等行业中招,被勒索支付高额赎金才能解密恢复文件。
24、日本光学产品制造商Hoya遭受网络攻击
据报道,2019年2月日本光学产品制造商Hoya公司遭受了一次严重的网络攻击,100多台电脑感染了病毒,导致Hoya公司的用户ID和密码被黑客窃取。黑客还在攻击期间试图挖掘加密货币,工厂生产线因此停止了三天。
25、委内瑞拉的全国范围断电事件
2019年 3月9日委内瑞拉首都使馆区也发生断电情况。古巴国务委员会主席兼部长会议主席迪亚斯-卡内尔认为,近日古里水电站事故导致委内瑞拉全国性停电事件,是针对委内瑞拉人民的恐怖袭击。
据俄罗斯卫星通讯社3月10日报道,迪亚斯-卡内尔在推特上发文写道:“委内瑞拉发生的这起电力事件,是一起严重的恐怖袭击事件,目的是打击委内瑞拉人民的抵抗并煽动军事入侵。”
3月7日,委内瑞拉古里大坝事故导致全国范围内停电。委内瑞拉国家电力公司称这是一起破坏事件,是针对委内瑞拉发起的电力战争。委内瑞拉总统马杜罗则指责是美国挑起这一事件。
26、铝业巨头挪威Norsk公司clockergoga勒索病毒攻击
2019年3月据外媒报道,全球最大铝生产商之一挪威海德鲁(Norsk Hydro)公司于本月19号遭到一款新型勒索软件LockerGoga攻击,企业IT系统遭到破环,被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营。
27、美国Hexion和Momentive公司遭勒索软件攻击
2019年3月12日,Hexion和Momentive公司于遭到勒索软件的袭击,由于此次攻击,大量关键数据都从系统中丢失,公司的Windows计算机出现了蓝屏错误并且文件被加密。
根据Motherboard报道,该勒索软件与之前对挪威海德鲁公司的攻击有许多相似之处,因此研究人员也将此次攻击归因于LockerGoga勒索软件。
28、美国自来水公司Odintsovsky Vodokanal遭勒索软件攻击
2019年4月15日,美国自来水公司Odintsovsky Vodokanal被勒索软件攻击。该恶意软件对受感染设备和网络共享上的数据都进行了加密,危及到公司的技术文档,客户数据以及帐单系统。
攻击者通过Windows操作系统中内置的标准“远程桌面协议”服务渗透到组织内的网络。攻击者能够远程破解该帐户的密码,并在系统上获得授权。接下来,他们以手动模式在受感染计算机上执行了恶意软件,然后恶意软件开始对文件进行加密。
29、美国飞机零部件供应商ASCO遭勒索软件攻击事件
2019年6月7日,世界上最大的飞机零部件供应商之一 ASCO 遭遇勒索病毒,已造成四个国家的工厂停产。勒索软件最先袭击了ASCO比利时公司的Zaventem工厂,由于被勒索软件感染导致IT系统瘫痪、工厂无法运营,已有1000名工人休假。另外,ASCO也关闭了德国、加拿大和美国的工厂,位于法国和巴西的非生产办事处未受影响。
30、阿根廷大规模停电事件
2019年6月16日,阿根廷发生大规模停电,首都布宜诺斯艾利斯的交通信号灯停止运作,地铁、城际铁路、公交车等公共交通全部停运,邻国乌拉圭、巴西、智利和巴拉圭部分地区的电力也中断。
阿根廷能源部长洛佩特吉在推特上说:“沿海输电系统早上发生故障并导致全国停电。目前我们无法确定到底出了什么问题。这是史无前例的事件,我们一定会彻查到底。”他表示,“虽然网络攻击不是主要假设,但不能排除这个可能性。”
31、美国纽约停电事件
2019年7月13日,纽约曼哈顿发生大规模停电,包括中心地带的时代广场、地铁站、电影院、百货公司等均陷入一片漆黑。据悉,此次停电造成大约4.2万名居民断电,还有多人被困电梯。停电发生在当地时间晚上7点前,当时气温大约30摄氏度。纽约市长白思豪在推特上表示,纽约应急管理办公室正在同纽约市警察局及纽约市消防局等方面通力合作,应对此次停电事故。7月13日下午6点45分左右一直到午夜前,从纽约时报广场到百老汇的近40个街区里,千万人受到停电影响。
当地时间7月15日,纽约爱迪生联合公司官方回复:13日晚的纽约市的大面积停电是变电站继电保护系统失灵引起的。但是有意思的是当日正好是纽约1977年大停电42周年纪念日。
另外有美方报导称:伊朗革命卫队信息战部队成功的突破了美国信息战部队的围堵,闯入了纽约市三十多个变电站的控制中心,并对控制中心进行信息站破坏,导致了纽约全城大约4个小时的停电。
32、乌克兰某核电站发现了挖矿设备事件
2019年7月10日,在南乌克兰核电厂突击检查中发现了很多的数字货币采矿设备。这些计算机设备并未在核电厂网络内获得授权,组成了一个可以访问互联网的单独的局域网,并用于接收加密货币。
该电厂由国有企业Energoatom运营,注册为国家机密,这意味着其场地内不允许使用外部计算设备。与互联网进行外联挖矿,可能导致破坏了核设施的安全,并最终泄露核电站物理保护系统的机密信息。
33、委内瑞拉再次大范围停电事件
当地时间2019年7月22日,委内瑞拉又一次遭遇大范围停电,据路透社报道,委内瑞拉的23个州中有一半以上受到了停电影响。停电发生约1小时后,委新闻和通信部长罗德里格斯在委内瑞拉国家电视台发表讲话时表示,初步调查结果显示,造成本次大规模停电的原因是委供电系统中最主要的古里水电站遭到电磁攻击。委内瑞拉电力供应逾6成来自水力发电,而绝大多数电量由古里水电站提供。
34、南非电力公司City Power遭勒索软件攻击
2019年7月25号,南非约翰内斯堡City Power 电力公司遭勒索软件攻击,导致一些居民区的电力中断。该公司数据库、网络、应用程序等,遭勒索软件加密而无法运作。这也导致客户无法透过网站买电、卖电、上传发票及存取公司网站。虽然电厂紧急调派人力,但雪上加霜的是,电厂的派工维修系统也无法运作,让停电修复的作业受到影响,造成用户抱怨电厂没有备援机组,而不能在这段期间取代供电,断电时间长达12小时。
35、印度核电公司遭受朝鲜黑客攻击
据有关报道,2019年9月,Kudankulam核电站遭受了攻击。该核电站两个反应堆有一个中止运行,恶意软件Dtrack的变体感染了核电站的管理网络,可能包括窃取设施的键盘记录、检索浏览器历史记录,以及列出正在运行的进程等,并不确定是否应能想到用于控制核反应堆控制网。
36、美国某电力系统因防火墙漏洞被攻击致运行中断
2019年9月,美国电力可靠性公司在其网站“经验教训”一栏发表文章称,美国西部一家电力公司因边界防火墙受到网络攻击,导致其控制中心与多个电厂之间的通信中断。据悉,电力公司使用的防火墙固件存在安全漏洞。攻击者可以远程发起攻击,导致目标设备连续重新启动并中断网络通信。
37、德国汽车零部件制造商境外工厂遭恶意软件攻击
2019年9月25号,总部位于德国的汽车零部件和国防解决方案提供商Rheinmetall宣布,由于受到恶意软件攻击,其在美国,巴西和墨西哥的汽车工厂的生产受到了干扰。
38、墨西哥国有石油公司Pemex遭勒索软件攻击
2019年 11月10日,墨西哥国有石油公司Pemex遭受到勒索软件攻击,被索要565 个比特币,约490万美元的赎金。报道称,Pemex受到了Ryuk勒索软件的影响,但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件,属于BitPaymer勒索软件的变种。
39、英国核电站遭受攻击
2019年12月2号,电讯报和都市晨报报道,英国一家核电厂遭到了网络攻击,核退役局(NDA)使用信息自由法获得的一份报告提到,核电公司的相关工作人员意识到核发电厂的一项重要业务已受到网络攻击,造成负面影响,目前必须依靠NCSC公司的专业人员来应对,帮助业务恢复。
40、韩国数百家工业企业文件被窃取事件
2019年12月18号,美国物联网及工控系统安全公司CyberX威胁情报小组公布了一项针对韩国工业企业的高级持续性间谍活动。据介绍,攻击者会使用带有恶意附件的鱼叉式网络钓鱼电子邮件,伪装成PDF文件发动攻击。成功入侵后,攻击者会从浏览器和电子邮件客户端中窃取登录数据,还会搜寻各种类型的文档和图像。攻击者可以凭借对IoT / ICS网络的远程RDP访问权限,对该国重要且具有军事意义的工厂布局了如指掌,并可在某关键时刻,直接对该国的工业企业和关键基础设施进行破坏性打击。
1.42020年-2025年
41、特斯拉、波音、SpaceX零件供应商VisserPrecision遭勒索软件攻击
2020年3月,据外媒报道,总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击。由于是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商,因此该事件引发了不小的震动。黑客威胁说,如果Visser不支付赎金,它们就会泄漏与这些公司有关的敏感文件,并且已经泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。
Visser官方确认发生了“刑事网络安全事件”,可能导致未授权访问和盗窃公司敏感数据。Visser表示在公司业务正常运行的同时,已经开始进行全面的调查,以找出导致攻击的安全漏洞。
目前,尚不清楚黑客如何设法渗透到Visser的计算机网络,但据推测,他们窃取了Visser数据并加密了计算机以索取赎金。
42、委内瑞拉国家电网干线遭攻击全国大面积停电事件
2020年5月5日,据报道,委内瑞拉副总统罗德里格斯宣布消息,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。委国家电力公司组织人力全力抢修,部分地区已经恢复供电。
罗德里格斯表示,国家电网的765干线遭到攻击。这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。除首都加拉加斯外,全国11个州府均发生停电。
43、以色列供水部门工控设施遭到网络攻击
2020年4月,以色列国家网络局发布公告称,近期收到了多起针对废水处理厂、水泵站和污水管的入侵报告,因此各能源和水行业企业需要紧急更改所有联网系统的密码,以应对网络攻击的威胁。
以色列计算机紧急响应团队 (CERT) 和以色列政府水利局也发布了类似的安全警告,水利局告知企业“重点更改运营系统和液氯控制设备”的密码,因为这两类系统遭受的攻击最多。
44、台湾两大炼油厂遭受勒索软件攻击,加油站混乱
2020年5月,据报道,台湾石油,汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)在过去两天内都受到了网络攻击。
CPC首先受到攻击,而FPCC在第二天也遭受攻击。5月4日,对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台。
尽管仍接受信用卡和现金,但客户无法在加油站使用VIP支付卡或电子支付应用程序。CPC高管声称,破坏是由勒索软件引起的。
45、本田汽车遭受工业型勒索软件攻击,部分生产系统中断
2020年6月8日,日本汽车制造商本田(Honda)表示,其服务器受到Ekans勒索软件攻击后,正在应对网络攻击。该事件正在影响公司在全球的业务,包括生产。
本田随后在一份声明中说:“本田可以确认本田网络发生了网络攻击。该问题正在影响其访问计算机服务器,使用电子邮件以及使用其内部系统的能力。此外对日本以外的生产系统也有影响。目前正在开展工作以最大程度地减少影响并恢复生产,销售和开发活动的全部功能。”
46、瑞士铁路机车制造商Stadler遭到网络攻击
2020年5月9日,瑞士铁路机车制造商Stadler对外披露,于近期遭到了网络攻击,攻击者设法渗透了它的IT网络,并用恶意软件感染了部分计算机,很可能已经窃取到部分数据。未知攻击者试图勒索Stadler巨额赎金,否则将会公开所窃得的数据。
Stadler是机架铁路车辆的全球领先制造商,主营产品包括高速火车,城际火车,区域火车和S-Bahn火车,地下火车,电车火车和有轨电车。该公司声称已针对该事件展开调查,并拒绝支付赎金,通过重新启动受影响系统,运行备份系统恢复运营。
47、美天然气管道商遭攻击,被迫关闭压缩设施
2020年2月,美国国土安全部的网络安全和基础设施安全局发布公告,一家未公开名字的天然气管道运营商,在遭到勒索软件攻击后关闭压缩设施达两天之久。攻击事件发生的具体时间未获公布。
据悉,攻击始于钓鱼软件内的恶意链接,攻击者从IT网络渗透到作业OT网络,并植入勒索软件。在关闭压缩设施期间,由于管道传输的依赖性,连带影响到了其他地方的压缩设施。
48、欧洲能源巨头EDP遭网络攻击,被勒索近1000万欧元
2020年4月据悉,葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击者声称,已获取EDP公司10TB的敏感数据文件,并且索要了1580的比特币赎金(折合约1090万美元/990万欧元)。
EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商,在全球四个大洲的19个国家/地区拥有业务。
49、可编程门阵列(FPGA)芯片被发现潜在严重漏洞,或使许多任务关键型和安全关键型设备遭受攻击
2020年4月22日,研究人员在现场可编程门阵列(FPGA)芯片中发现了一个潜在的严重漏洞,该漏洞可能使许多任务关键型和安全关键型设备遭受攻击。FPGA是安全组件并且可在现场进行编程,存在于各种系统中,包括工业控制系统(ICS)、云数据中心、蜂窝基站、医疗设备和航空系统。为利用该漏洞,攻击者需要访问目标设备的JTAG或SelectMAP接口,但研究人员警告称,也有可能实现远程攻击。该漏洞已于2019年9月报告给供应商并被确认存在,如不更换硅,就无法修补该漏洞。此外,他们指出,Xilinx的新型UltraScale和UltraScale+芯片正在慢慢取代旧型号,因此不容易受到攻击。
50、澳大利亚航运及物流公司Toll集团4个月内两次遭到攻击
日前,澳大利亚航运及物流公司Toll集团遭到勒索软件攻击,随后该公司便清理服务器,防止数据被盗。据悉,这是四个月内Toll集团遭遇的第二次勒索软件攻击,另一次攻击事件发生在今年2月份。
经调查发现,被攻击系统中存在Nefilim勒索软件(由 Nemty 演变而来的新一代勒索软件),该勒索软件会利用暴露在外的远端桌面(RDP)连接埠进行散播,并使用 AES-128 加密来锁定文件。在盗走企业资料后,不法分子会以公布机密资料作为理由来勒索企业。
51、丹麦水泵制造商DESMI遭网络攻击
2020年4月12日,据报道,全球水泵制造商DESMI表示,该公司受到网络和运营系统遭受攻击,在安全事件发生后,该公司恢复其IT系统。攻击发生4月9日晚上,正值冠状病毒大流行期间,公司员工在家中工作。网络攻击后,公司的所有系统都已关闭。DESMI已经向当局和丹麦警方报告了这一事件。DESMI宣布将尽快向所有客户和业务合作伙伴提供更新。
52、Oldsmar水利攻击事件
2021年2月5日,佛罗里达州奥尔兹马尔的一个水处理设施遭到袭击。Oldsmar设施内的操作员检测到来自工厂外的两次入侵,第二次入侵涉及一名远程攻击者,该攻击者通过TeamViewer桌面共享软件连接,TeamViewer桌面共享软件是用于技术支持的合法远程访问解决方案。
远程攻击者将住宅和商业饮用水中的氢氧化钠含量,从百万分之100改变为百万分之1100。氢氧化钠(又名碱液)被添加到水中以控制酸度和去除某些金属。碱液也是下水道清洁剂中的主要试剂,是一种腐蚀性物质,如果食用就会有危险。
运营商切断了攻击者的连接,并在水处理系统固有安全措施的支持下,防止污染水进入公众。
53、挪威能源及基础设施技术方案供应商Volue公司遭到Ryuk勒索软件攻击
2021年4月,挪威能源及基础设施技术方案供应商Volue公司遭到Ryuk勒索软件攻击,被迫关闭了挪威国内200座城市的供水与水处理设施的应用程序,影响范围覆盖全国约85%的居民。
54、美国最大成品油管道运营商科洛尼尔(Colonial Pipeline)输油管系统遭遇黑客勒索攻击
2021年5月8日,美国最大的成品油管道运营商科洛尼尔(Colonial Pipeline)输油管系统遭遇黑客勒索攻击,导致美国东部沿海各州油气输送关键网络全线停运。
据美媒Axios报道,黑客在两个小时内盗取了近100GB的数据,同时植入恶意程序锁定了电脑和服务器的数据,并要求支付赎金,否则不但无法解锁系统,那些被黑客所掌握的数据也将被泄露到网上。
此次受影响的Colonial Pipeline输油管道,是美国最大的成品油运输管道,全长超过8850公里,单日输油量可达到约38万立方米,约合250万桶,为东部地区提供了超过45%的汽油、柴油、飞机燃料和家庭取暖用油等。
55、BSFOODS攻击事件
2021年5月30日,全球最大的肉类供应商JBS遭到勒索软件攻击,导致澳大利亚、加拿大和美国的工厂关闭。美国的工厂关闭也导致近五分之一的肉类加工能力丧失。联邦调查局将这次攻击归咎于REvil,也被称为Sodinokibi。
Revil是一个提供RAAS的黑客组织。他们以敲诈巨额赎金、针对大公司、在加密之前窃取数据进行双重勒索而闻名,并将这些数据发布在一个名为Happy Blog的暗站上。
JBS维护一个备份系统,并能够使用它恢复操作以恢复数据。尽管如此,该公司为挽回损失,还是向攻击者支付了1100万美元的赎金。
56、美国水务巨头遭勒索软件攻击,内部文件泄露
2021年5月,美国最大的供水和污水处理公司之一WSSC Water,正着手调查今年5月24日发生的勒索软件攻击,负责运行非必要业务系统的部分网络在此期间遭遇侵袭。
据媒体报道,该公司在发现事件后数小时内即删除恶意软件并锁定了威胁,但攻击方仍然成功访问到内部文件。WSSC Water公司已经将情况上报给联邦调查局(FBI)、马里兰州总检察长以及州与地方一级的国土安全官员。
WSSCWater公司主要经营过滤与废水处理厂。就目前的情况看,攻击事件似乎并未影响到当地供水,调查工作仍在进行当中。
57、英国地方公关运营商北方铁路遭勒索软件攻击,自助售票系统瘫痪
2021年7月,英国地方公共铁路运营商北方铁路(Northern Trains)遭遇服务宕机,自助售票亭无法正常运行,官方称遭到了勒索软件的突然袭击。由于勒索软件攻击导致服务器离线,英国北方铁路耗资1700万英镑采购的自助售票系统陷入瘫痪,超过420个车站受影响。
58、风电巨头维斯塔斯遭网络攻击导致数据泄露
2021年11月19日,丹麦风力涡轮机巨头Vestas Wind Systems遭遇网络攻击,这起事件破坏了其部分内部IT基础设施并导致尚未明确的数据泄露。
需要关注的是,中国是维斯塔斯最为重要的新兴市场之一,截至2021年6月30日,维斯塔斯在中国的装机总量超过8.8吉瓦。
59、大利亚国有供水运营商SunWater遭受网络入侵长达9个月,始终没有发现
澳大利亚国有供水运营商,SunWater公司负责运营19处主要水坝、80个泵站及总长1600英里的输水管道。
该事件发生于2020年8月至2021年5月之间,攻击者设法侵入了用于存储供水商客户信息的Web服务器。黑客似乎对窃取敏感数据并不感兴趣,只是植入了自定义的恶意软件,以增加某个在线视频平台的访问量。
2 国内安全事件
关于国内的相关工控安全事件,老马就不必大幅篇篇的分析了,只点到为止,不做太多的分析。
2000年10月13日四川二滩水电厂控制系统受到异常信号攻击,导致系统停机。水电厂7秒甩出力89MW,造成川渝电网几乎瓦解;
2001年银山公司生产的故障录波装置出现“时间逻辑炸弹”,全国共146套;
2003年龙泉、政平、鹅城换流站控制系统发现病毒,经调查发现是由外国技术人员在系统调试中用笔记本电脑上网所致;
2003年大庆石化炼油厂控制系统感染Conficker病毒,使得通讯出现不同程度的中断;
2004年某省电力营销系统计费数据被恶意篡改;
2006年,清华同方环境有限责任公司在中国华能集团公司德州电厂二期3号机组脱硫装置试运行过程中,旁路门突然非受控制性关闭,致使工作间内7人被埋,其中4人经抢救无效死亡;
2007年,法国电力公司全资企业广西来宾B电厂(2台36千瓦燃煤机组)因江边水泵房设备的控制和通讯完全中断,造成两台机组停运,全场对外停电;
2008年,华中(河南)电网因继电保护误操作、安全稳定控制装置拒动等原因引发一起重大电网事故,导致华中东部电网与川渝电网解列,华中电网与西北电网直流闭锁、与华北电网解列。
2011年吉林某电厂机组DCS系统感染W32/Conficker.worm.gen.A蠕虫病毒。
2017年“永恒之蓝”、“WannaCry”勒索病毒全球爆发,我国各加油站、政府、高校以及电力等行业受到不同程度的攻击。
2018年台积电WannaCry变种病毒,造成三大产线停摆三天,造成18亿损失。
2019年以来,我国在水利、石油石化、电力、钢铁、汽车制造以及其他关键制造业遭受到不同层次的WannaCry和挖矿病毒的攻击,大多数都导致了企业的工业主机出现蓝屏,反复重启、甚至数据被加密等。
Copyright © 2005-2021 网信安全世界版权所有