德國風力渦輪機制造商Nordex疑遭黑客攻擊導致多地IT系統關閉

德國風力渦輪機制造商Nordex于4月2日在官網發布聲明稱，公司發生網絡安全事件后，Nordex在多個地點關閉了其IT系統，客戶、員工和其他利益相關者可能會受到關閉的影響。作為許多非技術公司的常態，它沒有發布事件事后分析，其中包含有關初始威脅向量或攻擊者的其他TTP的詳細信息。Nordex集團及其子公司在全球范圍內開發、制造和分銷風力發電系統。2021年，Nordex在22個國家/地區安裝了1,619臺風力渦輪機，當 年銷售額為54億歐元。它擁有約8,600名員工和一個制造網絡，其中包括位于德國、西班牙、巴西、美國、印度和墨西哥的工廠。

該公司在官網發布的聲明指出，2022年3月31日，Nordex Group IT安全部門檢測到該公司受到網絡安全事件的影響。早期發現了入侵事件，并根據危機管理協議立即采取了應對措施。作為預防措施，公司決定關閉多個地點和業務部門的 IT 系統。

Nordex稱，已經組建了一個由內部和外部安全專家組成的事件響應團隊來控制該問題，防止進一步傳播并評估潛在風險的程度。

GRCI Law的網絡事件響應者Cliff Martin評論說，作為預防措施，該公司關閉了IT系統，這表明他們目前正在處理一個重大問題，希望在未來幾天、幾周甚至幾個月內，他們將能夠提供更多信息，以便類似的組織可以使用它信息，以更好地防御類似攻擊。

在回應置評請求時，信息安全媒體集團(Information Security Media Group)收到了Nordex的自動回復，稱該公司將盡快回復更多細節，并補充說：“由于目前的情況，我們懇請您了解這種反應可能需要一些時間。”

丹麥廣播公司(簡稱 DR)的技術記者Henrik Moltke周日(4月3日)在推特上發表了他對這次攻擊的質疑，稱“Nordex，是受到‘網絡事件’(通常意味著勒索軟件)的打擊另一家主要的風力渦輪機制造商。請注意，發布時間是兩天攻擊之后——并且沒有提到OT系統。”

Moltke還表示，最近有幾家綠色能源公司成為目標，并詢問這是否是巧合。

類似事件

2021 年 11 月 19 日對世界上最大的風力渦輪機制造商之一維斯塔斯(Vestas)進行勒索軟件攻擊之后，該攻擊使系統癱瘓，并看到黑客“破壞并獲得對存儲在維斯塔斯內部文件共享系統上的數據的未經授權的訪問”，他們后來發布了這些攻擊。

維斯塔斯在不到三周的時間內恢復了所有系統，并在其最新的事件更新中表示，它“沒有跡象表明該事件影響了客戶和供應鏈的運營……”

這次攻擊是在數千臺Enercon風能轉換器的控制故障之后發生的，該問題仍未完全解決。周五(4月1日)，Enercon宣布，在衛星通信中斷后，超過85%的風力渦輪機現已重新上線。

Enercon 公司稱，“1,101個風電場重新上線，193個風電場的通信繼續中斷(截至4月1日)。中歐(CNE) 地區的服務團隊目前正在晝夜不停地開展大規模協調行動，以糾正問題，這次事件是 2月24日在KA-SAT衛星遭到網絡攻擊后出現的。

2月24日上午，當俄羅斯針對烏克蘭的特別軍事行動開始后，美國通信公司 Viasat報告說，它遭受了一次在線攻擊，中斷了對許多終端的訪問。中斷發生的時間大約是在俄羅斯坦克開始越過邊境，導彈開始擊中烏克蘭目標的同時。

這次襲擊沒有歸咎于任何團體或政府，但安全專家表示，一些烏克蘭的武器系統和防御系統可能依賴基于衛星的通信進行指揮和控制。

據路透社報道，Viasat中斷的一個連鎖反應是它破壞了德國Enercon在中歐運營的約 5,800臺風力渦輪機。運行技術的影響阻礙了對渦輪機的遠程監控。

Viasat隨后在3月1日報道稱，“部分網絡中斷”正在“影響烏克蘭和其他地方的固定寬帶客戶的互聯網服務”，這些客戶依賴于名為KA-SAT的Viasat電信衛星，該衛星為歐洲55個國家和部分地區提供服務。它將中斷歸咎于“網絡事件”，稱該事件仍在調查中。

此后，根據 SentinelOne安全研究人員Juan Andrés Guerrero-Saade和Max van Amerongen于3月31日發布的一份報告，基于他們發現的惡意軟件樣本，數以萬計的Viasat消費者寬帶調制解調器的中斷可能涉及擦除惡意軟件。已被稱為酸雨--AcidRain。

Viasat事件的最新更新

周三(3月31日)，Viasat發布了關于中斷調查的最新消息，該中斷影響了其運營的KA-SAT衛星通信或SATCOM網絡的一些用戶。具體來說，攻擊者使大約 30,000 個以Tooway 品牌銷售的住宅寬帶調制解調器下線，這些調制解調器由總部位于意大利的Skylogic提供，該公司是法國衛星運營商Eutelsat 的子公司。

“這次網絡攻擊并未影響Viasat直接管理的移動性或KA-SAT衛星上的政府用戶，”Viasat 在其概述和事件報告中說。“同樣，網絡攻擊并未影響全球其他 Viasat 網絡上的用戶。”

Viasat以批發方式向分銷商提供調制解調器，該公司表示，它已經運送了 30,000個替換調制解調器，如果需要，還會提供更多。該公司表示，最初的調制解調器沒有被破壞或變磚，而是通過攻擊者發送的一系列命令使其離線。

尚未歸因

此次攻擊尚未歸咎于任何民族國家或攻擊組織，盡管俄羅斯或親密盟友仍然存在嫌疑。Outpost24的CSO Martin Jartelius進一步將這次襲擊與俄羅斯及其入侵烏克蘭聯系起來，他說：“我們可以看到，針對風力發電衛星控制的攻擊，主要是在德國，已經在烏克蘭的沖突中受到了影響。能源是作為歐洲地緣政治發展的核心部分，網絡領域仍然是有關各方在沒有公開沖突的情況下相互破壞穩定的安全方式。這很可能只是早期被檢測和阻止的勒索軟件攻擊階段做得非常好，但時間和行業與當前令人不安的情況的其他因素相結合。”

參考資源：

1.https://www.govinfosecurity.com/hackers-target-wind-turbine-manufacturer-nordex-a-18833

2.https://www.nordex-online.com/en/2022/04/nordex-group-impacted-by-cyber-security-incident/