全球业务宕机！以色列最大炼油厂遭网络攻击
2023-08-10 10:32:54   来源： 莫雷 威努特工控安全   评论：0 点击：

　　一

　　网络攻击事件概述

　　以色列最大炼油厂BAZAN在全球石油行业享有盛誉，年收入超过135亿美元，拥有1800多名员工，年炼油能力约为980万吨。

　　7月29日-7月30日，BAZAN 集团旗下网站bazan.co.il和eng.bazan.co.il遭受黑客组织DDOS攻击，导致无法进入，全球范围内访问该界面均显示“请求超时”、“被公司的服务器拒绝”等字样。

　　经BleepingComputer测试，该集团网站可以从以色列境内访问，这可能是由于BAZAN已经实施了地理封锁的举措的原因。

　　同时，伊朗黑客组织“网络复仇者”，又名“CyberAv3ngers”，在Telegram频道中声称他们已渗透到BAZAN网络，并发布了BAZAN集团公司的SCADA系统的屏幕截图。泄露的屏幕截图包括关键系统的图表，例如“火炬气回收装置”、“胺再生”系统、石化“分流器部分”和可编程逻辑控制器（PLC）代码。

　　然而，作为回应，BAZAN集团发言人迅速驳斥了泄露的材料，称其“完全是捏造的”。该公司声称正在积极调查该事件，但没有提供更多细节。

　　二

　　为什么近年来炼油厂频繁遭受

　　网络攻击？

　　近年来，炼油厂频繁遭受网络攻击，原因归结为以下三点原因：

　　1、重要性和关键性：炼油厂作为国家经济的重要组成部分，其运营和稳定对能源供应和经济发展至关重要。攻击者可能针对这一关键行业进行攻击，以达到破坏或获利的目的；

　　2、高收益利润：炼油厂通常涉及大量的资金和财务交易，攻击者可能试图窃取敏感信息、企图勒索或进行金融欺诈等活动，以获取高额利润，此外，炼油厂作为一个复杂的工业系统，涉及到大量的生产数据和关键信息，如生产过程参数、设备状态和供应链数据等，若这些数据被窃取和破坏，会影响企业的正常运行；

　　3、政治或地缘政治因素：一些网络攻击可能是由政治或地缘政治因素驱动的。攻击者可能试图破坏国家的经济、能源供应链或国际关系，从而对炼油厂进行网络攻击。

　　近年来，石化行业遭受的网络安全攻击统计如下，由此可见石化行业网络攻击愈发频繁：

　　三

　　石化行业头上悬的四把

　　网络攻击“利剑”

　　基于石化行业的重要性，目前已成为主要攻击目标，常见的攻击手段可归结为以下“四把网络攻击利剑”：

　　3.1

　　【 黑客攻击之“暗箭” 】

　　黑客攻击除了如以色列最大炼油厂遭受的DDOS攻击外，有的甚至造成了严重的爆炸事故。

　　在2008年8月5日，里海石油大动脉“巴库-第比利斯-杰伊汉石油管道”30号阀门站因遭受攻击在土耳其境内发生爆炸。令人奇怪的是，攻击阀门站的武器并非炸弹，而是黑客，而黑客进入控制系统的切入点竟是监控摄像头。

　　黑客利用监控摄像头存在的通信软件漏洞，用一个恶意程序建立了随时可进入内部系统的赛博通道，接下来的攻击行动就很简单了。在不触动警报的情况下，黑客通过加大石油管道内的压力，当压力大到管道或阀门难以承受时，爆炸就发生了。

　　明枪易躲，暗“剑”难防。人为刀俎，汝为鱼肉。这是“暗剑”的显著特点。

　　这些安全隐患皆源于软件缺陷、通道以及意想不到的疏漏。设备太多，防护太少，防不胜防。

　　3.2

　　【 病毒植入之“毒箭” 】

　　近年来，各企业用户被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏，该病毒大规模集中爆发。一时间人人自危，谈勒索病毒色变。刚刚应对完过去这一波勒索病毒，很多人还没有喘过气来。同是当年，一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的企业、政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的企业，重新用上了纸文件，加油站、医疗设备停止运行，待抢救的病人只能等死。

　　此外，除了勒索病毒，木马病毒也具有巨大杀伤力，木马病毒植入最具代表性的案例，当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。该病毒在石化行业也同样能造成严重的后果，我们再回顾下该病毒的攻击手段：

• 无形植入：通过感染所有潜在工作者的U盘，病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测，但这种病毒根本查不出来。病毒悄悄嵌入系统，使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘，木马就修改扫描命令并返回一个正常的扫描结果！
• 感染传播：利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒，8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。
• 动态隐藏：把所需的代码存放在虚拟文件中，重写系统的API（应用程序接口）以将自己藏入，每当系统有程序访问这些API时就会将病毒代码调入内存。
• 内存运行：病毒会在内存中运行时自动判断CPU负载情况，只在轻载时运行，以避免系统速度表现异常而被发现。关机后代码消失，开机病毒重启。
• 精选目标：如果网络中有西门子S7-315和S7-417两个型号的PLC（可编程逻辑控制器），病毒就把它们作为目标。如果网内没有这两种PLC，病毒就潜伏。如找到目标，病毒利用Step 7软件中漏洞突破后台权限，并感染数据库，于是所有使用该软件连接数据库的人的电脑和U盘都被感染，他们都变成了病毒输送者。
• 巧妙攻击：在难以察觉中，病毒对其选中的目标进行破坏，导致设备大量损坏，造成严重的后果。

　　剑上涂毒，见血封喉；伪装潜伏，择机爆发。这是“毒剑”的显著特点。

　　由此可见，软件的漏洞让诸如病毒变得无比狡猾，且让病毒攻击变得很有针对性。谁能说在我国某地或某企业的内网中，一定没有类似病毒存在呢？

　　3.3

　　【 软件后门之“阴剑” 】

　　目前国内在用的工业软件中，国外的软件市场占有量还是居高不下。这些软件多数为美、欧、日等西方发达国家开发，并且绝大多数对中国客户不开放源代码，特别是近年来这些软件又都融合了互联网技术。

　　根据多年来在企业调研和在市场上观察到的种种现象，在泄露商业机密的案例中，除了国外黑客网络攻击和病毒植入之外，国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况：

　　一是软件原厂商为了改进产品质量，对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据，找出用户的使用习惯和操作不便之处，以便在后期版本中改进软件功能。这种收集数据的出发点是善意的，通常也用“是否愿意加入产品的改进计划”的名义问询用户的意愿。

　　二是完全出于某种其他非法的目的，特定设计的软件“后门”。如果安装使用软件的电脑是联网的，那么某些“厂商所需数据”就在以某种触发机制（如按照累积量）随机或定时发送。如果电脑是不联网（如物理隔绝）的，那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过，用户可能知道，也可能不知道，即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码，通常很难查出这种后门发送数据的代码处于软件中的位置。

　　阴损之剑，杀人无形；每日一剑，伤皮放血。这是“阴剑”的显著特点。

　　企业里的各种杀毒软件，对软件后门是发现不了的，因为软件后门并非病毒，而是前门紧闭，后门洞开，开门揖盗。长此以往，情况就会变得严重。国外软件厂商（和情报部门）甚至能对企业的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚，即使在服务器物理隔绝的状态下，有些数据仍可能外泄。

　　3.4

　　【 为钱卖钥之“鬼剑” 】

　　家有内鬼，鬼必作祟；“鬼剑”刺处，机失难追。这是“鬼剑”的显著特点。

　　再好、再严密的设备防御措施，也禁不住内鬼为钱卖钥，贪财解锁。其实，无论多么严密的设备上网防护措施，多么完美的加密算法，当人心有鬼时，防护都可以破解。最可靠的加密钥匙，是人心、制度和法律。

　　乱世用重典，如果一遇到就重判，可能未来鲜有人敢做此事。看来，与石化行业信息化发展相适应的法律条款，仍然在不断完善和修订的路上。

　　这次以色列最大炼油厂遭遇APT攻击导致全球宕机的事件为我们国内石化行业敲响了警钟，石化行业是关乎国家经济发展和基础设施运行的关键行业，因此它成为了网络攻击者的主要目标。APT攻击的出现意味着攻击者不仅仅是进行一次性的入侵，而是通过持久性的方式进行渗透并窃取重要的机密信息。这种攻击对石化行业的系统、数据和运营稳定性构成了巨大的威胁。

　　四

　　石化行业如何应对危机？

　　为了应对加速来袭的网络安全危机，石化行业需要采取紧急措施。首先，加强网络安全意识，提高员工对网络威胁的认识和防范能力。其次，建立灵活的网络架构，提高网络的弹性和可恢复性，以减少可能的破坏和损失，结合建设安全防护技术体系及时发现和阻止潜在的攻击。。此外，企业应建立完善的管理制度体系，并制定紧急响应计划，确保在遭受攻击时能够迅速响应、隔离威胁和修复系统。

　　石化行业网络安全是当前亟待解决的重要问题，而以色列最大炼油厂遭遇APT攻击的事件更加凸显了这个危机的紧迫性。只有通过全面的网络安全建设，才能应对这一威胁，保障石化行业的信息安全和持续稳定运行！！！