加拿大銅山礦業公司勒索軟件攻擊案反思

當地時間2023年1月6日，加拿大Copper Mountain Mining公司發布新聞公告稱，1月1日，該公司恢復了其銅山礦的初級破碎機的運營，此后不久，公司恢復了在襲擊后預防性關閉的工廠的運營。1月4 日，該廠已全面生產，目前正在穩定運營，因為其余業務系統已完全恢復。 該公告還補充， Copper Mountain Mining 的外部和內部IT團隊以及外部網絡安全專家正在繼續積極建立額外的保障措施，以減輕公司面臨的任何進一步風險。 公司的主要目標仍然是以安全可靠的方式恢復完整的業務功能。

安全專家指出，Copper Mountain Mining公司勒索軟件攻擊是另一個過程傳感器監控可以防止設施關閉的案例，也就是說勒索攻擊后關閉設施運營并非唯一選項。

前情回顧

2022年12月29日，位于不列顛哥倫比亞省的加拿大銅山礦業公司(CMMC)宣布，它是勒索軟件攻擊的目標，影響了其運營。CMMC由三菱材料公司部分擁有，占地18,000英畝，平均每年生產1億磅銅，估計礦產儲量還可以再使用32年。針對該公司的網絡攻擊發生在年12月27日晚些時候，該公司的IT團隊通過實施預定義的風險管理系統和協議迅速做出反應。為遏制這一事件，CMMC隔離了受感染的系統并關閉了其他部分以徹底檢查它們并確定勒索軟件攻擊的影響。作為預防措施，CMMC的工程師不得不關閉工廠以確定其控制系統的狀態，而其他流程則轉為手動操作。“公司的外部和內部IT團隊正在繼續評估風險，并積極建立額外的保障措施，以減輕公司面臨的任何進一步風險，” CMMC網站上的公告稱。BleepingComputer在網絡情報公司KELA的幫助下發現的一個有趣細節是，一名網絡犯罪分子于 2022年12月13日在黑客市場上提出出售屬于CMMC員工的賬戶憑證。據此判斷攻擊者很可能使用受損帳戶實現了在該網絡上突破。進入2023年一周后， 該公司確認生產已經恢復，在這次停工期間，它一直在將銅精礦從礦山庫存中運往溫哥華港，并保持了計劃的運輸時間表。

針對這家總部位于加拿大溫哥華的礦業公司的勒索軟件攻擊類似于2021年6月針對JBS USA的攻擊，后者影響了該公司在北美和澳大利亞的業務。該公司通知美國政府“他們是勒索軟件攻擊的受害者”，并通知政府贖金要求可能來自俄羅斯的一個犯罪組織。

Copper Mountain Mining在12月下旬確認了勒索軟件攻擊，并隔離操作，在可能的情況下切換到手動流程，并且工廠已經預防性關閉以確定對其控制系統的影響。該公司“迅速實施了風險管理系統和協議以應對攻擊。該公司已隔離運營，在可能的情況下切換到手動流程，并且工廠已被預防性關閉以確定對其控制系統的影響，”它補充說。

防范勒索攻擊只能關閉運營？

網絡安全專家Joe Weiss在最近的一篇博客文章中寫道，Copper Mountain Mining勒索軟件攻擊是另一個過程傳感器監控可以防止設施關閉的案例。“由于傳感器監控系統與設施的IP網絡脫機，因此 IT惡意軟件和勒索軟件都無法訪問傳感器監控或流程。這意味著如果過程傳感器表明過程沒有受到影響，則工廠可能不需要關閉，”他補充道。Weiss在IEEE計算機雜志2022年11月號上的文章-“使用機器學習解決傳統過程傳感器的操作和網絡安全限制”描述了在大型采礦/金屬設施進行的測試。測試表明，傳感器的物理特性可以提供Windows HMI無法提供的信息。

Weiss補充說，由于任何IP網絡都可能被黑客攻擊，離線監控傳感器的物理特性可以說是證明在勒索軟件或其他IT網絡攻擊期間繼續運行的唯一方法。 此外，從IEEE文章中可以看出，監控過程傳感器提供了一個真正的ROI，因為過程傳感器監控還提供了改進的過程安全性、可靠性和產品質量。

他還指出保險業最近的討論表明他們不會為勒索軟件投保，Weiss強調說，“有人想知道保險業將如何看待本可以通過過程傳感器物理監控來避免的手動關閉。”

Weiss此前多次強調，傳感器監控系統不易受到IT或OT網絡惡意軟件或勒索軟件的影響，因為它與OT網絡隔離。也就是說，“你無法破解物理學。” 這意味著在傳感器數據轉換為以太網數據包之前執行的傳感器監控方法可以為OT網絡丟失時繼續運行提供技術依據，無論是出于惡意還是無意的原因。

關基遭勒索頻發豈能一關了之？

針對Copper Mountain Mining的勒索軟件攻擊發生之際，關鍵基礎設施設施已成為全球目標。去年12月，鐵路基礎設施公司Wabtec通知客戶，在其美國、加拿大、英國和巴西實體發生的一起事件中，一些個人的個人信息遭到了個人數據安全漏洞的利用。 

據說Wabtec的安全事件發生在2022年，可能會暴露個人和敏感信息。除了破壞網絡和訪問包含敏感信息的某些系統外，Wabtec還確定在攻擊期間將惡意軟件引入了某些系統。

大約在同一時間，據說里斯本港 (Porto de Lisboa) 遭到破壞，導致其網站在官方確認網絡攻擊者瞄準它后十多天無法訪問。大約在同一時間，LockBit勒索軟件組織將該組織添加到其勒索網站，聲稱發動了勒索軟件攻擊。

新聞報道披露，里斯本港務局證實網絡攻擊并未損害關鍵基礎設施的運營活動。襲擊發生后，政府將此事通知了國家網絡安全中心和司法警察局。

另一場Lockbit勒索軟件攻擊于12月下旬宣布，當時多倫多病童醫院成為攻擊目標，導致幾個重要的醫院網絡系統癱瘓，并導致患者護理大范圍中斷，OT和物聯網公司的安全研究員Lali Hadar SCADAfence，在公司博客文章中寫道。“這次攻擊利用了勒索軟件即服務變種LockBit。雖然沒有任何組織聲稱對發動這次攻擊負責，但LockBit勒索軟件的制造商在事件發生兩周后發表了道歉，”她補充道。 

Hadar補充說，與針對金融或銀行業的勒索軟件攻擊不同，“對醫療機構的攻擊可能會造成嚴重后果，而不僅僅是數據丟失或信息被盜。當醫院或醫療機構被威脅行為者關閉時，它可能會中斷患者護理，從而影響人類健康和安全。這使得醫療保健攻擊通常比其他類型的攻擊更具破壞性和更值得注意。”

2022年10月下旬，美國網絡安全和基礎設施安全局 (CISA)發布了網絡安全性能目標，提供了一套易于使用的通用IT和OT（運營技術）網絡安全保護措施，以改善國家關鍵基礎設施的網絡安全。CISA CPG的編寫和設計旨在讓非技術人員（包括高級商業領袖）易于理解和交流，旨在解決一些最常見和影響最大的網絡風險。

關基遭遇勒索，大多數的應對措施就是關閉業務運營，簡單粗暴，直接了當。但真正對經濟、聲譽、環境甚至社會穩定安全的影響，孰輕孰重，尚無細致評估。考慮到Weiss的觀點，利用非IP數據的監測，在勒索事件前仍然有可能有所作為的。