2021全球工控安全事件大盤點

序

剛剛過去的2021年，是“十四五”開局之年，恰逢建黨100周年，砥礪奮斗百年路，揚帆啟航新征程。在百年變局和疫情交織背景下，我國經濟實現快速復蘇和持續增長。抗擊疫情是場持久戰，捍衛國家網絡空間安全也同樣不能放松警惕，信息安全、網絡安全是發展的保障，沒有網絡安全，就沒有國家安全。

2021年9月1日，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）正式施行。《條例》的出臺標志著關鍵信息基礎設施安全保護法律制度體系的進一步健全，國家關鍵信息基礎設施已經被視為國家的重要戰略資源，以立法形式保護關鍵信息基礎設施安全，已成為當今世界各國網絡空間安全制度建設的核心內容和基本實踐。

關鍵信息基礎設施面臨的網絡安全形勢日趨嚴峻，網絡攻擊威脅上升，事故隱患易發多發，回顧2021年，全世界又發生了哪些重大的安全事件？我們從公開報道中摘選部分事件，讓大家充分了解工業控制系統所面臨的安全威脅。只有做到居安思危、未雨綢繆，才能保證工業控制系統健康穩定地運行。

2021年一季度

美國佛羅里達水處理工廠發現水坑攻擊

2021年2月初，有黑客入侵美國佛羅里達州奧爾德斯瑪市的市政水處理系統，試圖將氫氧化鈉（NaOH）的濃度提高到極其危險的水平。氫氧化鈉常見于家用清潔劑，一旦發生高濃度攝入很可能引發危險。但只要濃度較低，氫氧化鈉又能幫助水處理設施快速調節供水pH值并去除重金屬。

攻擊者利用了TeamViewer，因為該工廠的員工一直在使用TeamViewer遠程監視和控制系統。由于密碼共享和其他不良的安全做法，黑客很容易獲得訪問權限并開始在HMI中進行未經授權的更改。入侵者在系統內只用了3到5分鐘，就將氫氧化鈉含量從百萬分之100更改為百萬分之11100。幸運的是，工作人員注意到鼠標在屏幕上（自行）移動，立即介入干預、撤銷了上述危險操作，避免了災難。

參考來源：

https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/

起亞汽車遭攻擊，贖金高達2000萬美元

2021年2月，起亞汽車美國分公司遭受DoopelPaymer惡意團伙發動的勒索軟件攻擊，被開出2000萬美元天價贖金。如果拒絕支付，不僅鎖定數據無法還原，失竊的起亞內部信息也將被公之于眾。

有報告指出起亞汽車美國分公司遭受全面IT服務中斷影響，包括移動應用UVO Link、電話服務、支付系統、車主門戶網站以及經銷商使用的內部站點均受到沖擊。在瀏覽其官方網站時，頁面會向用戶彈出一條消息，稱起亞的“內部網絡出現了某些IT服務中斷問題”。

 參考來源：

https://www.bleepingcomputer.com/news/security/kia-motors-america-suffers-ransomware-attack-20-million-ransom/

宏

碁電腦3.25億元贖金創下最高紀錄

據外媒報道，2021年3月電腦巨頭宏碁（Acer）遭遇REvil勒索軟件攻擊，威脅方開出了迄今為止最高數額的贖金——5000萬美元（約3.25億人民幣）。REvil勒索軟件團伙在其數據泄露站點上宣布他們已經成功入侵宏碁的系統，并同時公布了幾張作為證據的被盜文件截圖。

威脅情報公司Advanced Intel的情報平臺監測到，REvil團伙曾將矛頭指向宏碁域內的微軟Exchange服務器，問題可能出在微軟Exchange身上。Advanced Intel的情報系統檢測到，REvil下轄的某小組正打算利用微軟Exchange漏洞發起攻擊。

如果REvil確實利用了微軟Exchange安全漏洞竊取數據或者加密鎖定目標設備，將成為“大型目標狩獵”勒索攻擊中首次使用這一攻擊向量。

參考來源：

https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/

殼牌公司遭受Accelion黑客攻擊

2021年3月16日，繼工業巨頭霍尼韋爾IT系統遭惡意軟件破壞后，能源巨頭殼牌公司（Shell）也遭遇黑客攻擊。攻擊者利用了安全廠商Accellion的文件傳輸程序FTA的零日漏洞，已經訪問了一些個人數據以及屬于殼牌利益相關方和子公司的數據。殼牌公司使用FTA來“安全地”傳輸大文件。

該事件似乎僅影響了Accellion文件傳輸服務。殼牌聲稱，沒有證據表明該事件已影響到殼牌的IT系統本身，殼牌公司已經與當局和監管機構合作調查這一事件。

參考來源：

https://www.aqniu.com/threat-alert/73453.html

2021年二季度

歐洲能源技術供應商業務系統被迫關閉

據外媒報道，挪威公司Volue是一家專為歐洲能源及基礎設施企業提供技術方案的廠商，該公司在2021年5月4日-5日遭遇勒索軟件攻擊，為挪威200個城市水處理設施提供的基礎設施應用被迫全部關閉，覆蓋全國約85%的居民。

為了防止勒索軟件進一步傳播至其他計算機系統，Volue公司不得不關閉了所托管的其他多種應用程序，并將約200名員工使用的設備盡數隔離。

參考來源：wsj.com

美國首次因網絡攻擊宣布進入國家緊急狀態

2021年5月7日，美國最大燃油運輸管道商科洛尼爾（ColonialPipeline）公司被迫暫停輸送業務，對美國東海岸燃油供應造成了嚴重影響。次日，美國聯邦汽車運輸安全管理局因此宣布多個州進入緊急狀態。

這是美國首次因網絡攻擊而宣布多州進入國家緊急狀態，此前公布的緊急狀態大多是美國政府實施國家制裁或軍隊及公共衛生相關。

為了預防事態進一步擴大，該公司主動將關鍵系統脫機，以避免勒索軟件的感染范圍持續蔓延，并聘請了第三方安全公司進行調查。FBI、能源部、網絡安全與基礎設施安全局等多個聯邦機構一起參與了事件調查。

參考來源：

https://threatpost.com/pipeline-crippled-ransomware/165963/

大眾330萬購車客戶受黑客攻擊影響

大眾汽車集團美國公司（VWGoA）披露了一起數據泄露事件，表示他們的一家供應商曾在2019年8月至2021年5月期間在互聯網上泄露大量未受保護的客戶數據。大眾美國公司在事件通報中表示，“導購數據庫中包含潛在客戶的聯系信息與電話號碼，而銷售數據庫中的數據則更為豐富，具體涵蓋車輛識別號、商業編號、駕駛人信息以及車輛信息。”這批泄露的數據主要影響到美國及加拿大多家奧迪與大眾授權經銷商的330萬購車客戶。

黑客們為全體記錄開出了4000到5000美元的價碼，并表示目前在售的數據庫中不包含任何客戶的社保號碼。他們已經以1000美元的價格將數據庫出售給某VPN服務商，這家服務商在Google Play商店中有多款應用在售。

參考來源：

https://www.bleepingcomputer.com/news/security/audi-volkswagen-customer-data-being-sold-on-a-hacking-forum/

肉類加工巨頭支付1100萬美元贖金

2021年6月10日，全球最大肉類生產商巴西JBS集團美國分公司向網絡犯罪分子支付了價值1100萬美元的比特幣贖金，以解決一周前遭受的網絡攻擊。該公司是全美第二大肉類與家禽加工商，這次攻擊迫使其暫時關閉了加工美國約五分之一肉類產品的工廠。白宮正式將事件定性為勒索軟件攻擊。

網絡安全分析師們還將這次攻擊與同樣廣受關注的科洛尼爾管道公司攻擊事件相提并論，后者直接導致美國東海岸地區遭遇為期數天的燃料供應短缺。但也有人認為，這次攻擊情況更糟，畢竟食物本身會快速變質，而大部分勒索軟件攻擊引發的后果需要幾周時間才能得到恢復。

參考來源：https://zdnet.com

2021年三季度

伊朗鐵路遭攻擊，車站大屏播虛假信息

據外媒報道，伊朗鐵路系統在當地時間2021年7月9日遭遇網絡攻擊，攻擊者在全國各地車站的顯示屏上大肆發布關于火車延誤或取消的虛假信息。

顯示屏上的通報信息提到，火車“因網絡攻擊而長時間延誤”或“取消”，并敦促乘客撥打電話查詢更多詳細信息，而電話號碼則是伊朗最高領導人辦公室的座機號碼，網絡攻擊導致伊朗火車站爆發出前所未有的混亂局面。

惡意軟件攻擊導致伊朗鐵路系統癱瘓的神秘事件曝光之后，SentinelOne威脅追蹤者重建了攻擊鏈，發現了一個破壞性擦除器組件，可以用來從受感染的系統中刪除數據。

參考來源： securityaffairs.co、xinhuanet.com

沙特阿美數據泄露：1TB數據在暗網兜售

據外媒報道，2021年7月，ZeroX惡意團伙從沙特阿美石油公司盜竊1TB專有數據，開價500萬美元在暗網上出售，并表示還可以協商，具體數據包括近1.5萬名員工的個人信息、多個煉油廠內部系統項目文件、客戶名單與合同等。

ZeroX宣稱，這些數據盜取自2020年一次對沙特阿美“網絡及服務器”的入侵行動，因此，這批流出的文件最近日期為2020年，但也有一些可以追溯到1993年。在詢問ZeroX到底如何實現侵入時，該組織并未明確回應，只模糊地表示“利用到了零日漏洞”。

參考來源： BleepingComputer.com

英方鐵路遭攻擊，自助售票系統癱瘓

2021年7月，英國地方公共鐵路運營商北方鐵路（Northern Trains）遭遇服務宕機，自助售票亭無法正常運行，官方稱遭到了勒索軟件的突然襲擊。

由于勒索軟件攻擊導致服務器離線，英國北方鐵路耗資1700萬英鎊采購的自助售票系統陷入癱瘓，超過420個車站受影響。

此次攻擊事件無疑敲下一記響亮的警鐘，即任何形式、不同規模的企業都有可能處于信息安全犯罪分子的攻擊視野之內。定期審查并測試數據監管實踐，是保證IT團隊得以輕松恢復關鍵業務軟件并保障數據系統完整性的核心前提。

參考來源：

https://www.theregister.com/2021/07/20/northern_trains_ticketing_system/

奧林巴斯遭勒索攻擊：部分網絡關閉

據外媒報道，由于遭到BlackMatter勒索軟件攻擊，日本科技巨頭奧林巴斯關閉了其在歐洲、非洲和中東的計算機網絡，同時對其系統遭到的網絡攻擊進行調查。該公司沒有具體說明攻擊類型，但消息人士稱，奧林巴斯在2021年9月8日早些時候受到了勒索軟件的攻擊。

奧林巴斯公司在9月8日凌晨檢測到可疑活動后，立即組建了一個包括取證專家在內的專業響應團隊，以最高優先級解決該問題，并已暫停受影響系統中的數據傳輸，且通知了相關外部合作伙伴。被攻擊計算機上留下的贖金條稱攻擊來自勒索軟件組織“黑物質”（BlackMatter）。

參考來源：

https://www.aisoutu.com/a/963827

2021年四季度

伊朗各地加油站因網絡攻擊事件癱瘓

據外媒報道，2021年10月26日發生的一起網絡攻擊事件破壞了伊朗高補貼汽油的銷售。 網絡攻擊引起的軟件故障擾亂了伊朗全國各地的加油站， 導致加油站的加油系統中斷， 并且破壞了加油泵屏幕和天然氣價格廣告牌，在廣告牌上顯示與政治相關的內容。

這次攻擊影響了NIOPDC的IT網絡，而NIOPDC是伊朗一家管理著3,500多個加油站的國有天然氣分銷公司。 攻擊涉及使用一種前所未見的可重復使用的數據擦除惡意軟件“Meteor”。

參考來源：

https://thehackernews.com/2021/10/cyber-attack-in-iran-reportedly.html

美國乳制品巨頭遭攻擊：工廠癱瘓數天

2021年11月初，美國大型乳制品供應商SchreiberFoods遭到勒索軟件攻擊，導致系統宕機，攻擊者索要250萬美元贖金。

由于Schreiber Foods使用了大量數字系統與計算機管理牛奶加工流程，此次攻擊給整個供應鏈造成了重大打擊，工廠和配送中心也無法運行，牛奶運輸商只能將牛奶運至別處。

美國網絡安全與基礎設施安全局（CISA）將攻擊事件歸為BlackMatter勒索軟件團伙所為。CISA、FBI和NSA在咨詢意見中表示，自2021年7月以來，BlackMatter已經先后對多個美國關鍵基礎設施實體發動攻擊。

參考來源：

https://www.zdnet.com/article/schreiber-foods-back-to-normal-after-ransomware-attack-shut-down-milk-plants/

多倫多公共交通系統遭勒索軟件襲擊

近年來，針對公共交通系統的勒索軟件攻擊日益增多，2021年11月初，一場突如其來的勒索軟件攻擊，擾亂了加拿大最大城市多倫多的公共交通機構正常運行，導致司機及通勤乘客使用的多個系統陷入癱瘓。

此次攻擊影響到多倫多交通委員會（TTC）多個內部系統，比如委員會的內部郵件服務器、基于視頻的駕駛員通信系統TTC Vision等。在徹底消除攻擊影響之前，委員會決定使用傳統的無線電通信系統臨時代替。

除了委員會的后端系統，此次攻擊還影響到面向客戶的服務器，Wheel-Trans預訂門戶（專為殘疾人提供的交通工具）也處于離線狀態。此次攻擊還影響到車站站臺屏幕、內部出行規劃應用以及委員會網站上的車輛實時信息顯示功能。

參考來源：

https://therecord.media/ransomware-attack-disrupts-torontos-public-transportation-system/

丹麥風電巨頭遭網絡攻擊導致數據泄露

據外媒報道，丹麥風力渦輪機巨頭Vestas Wind Systems遭遇網絡攻擊，這起事件破壞了其部分內部IT基礎設施并導致尚未明確的數據泄露。維斯塔斯在2021年11月19日事件發生后關閉了其部分系統。在最新的更新聲明中，該公司稱發生了數據泄露，部分IT設施正在恢復中，沒有證據表明事件影響了第三方運營，包括客戶和供應鏈運營。需要關注的是，中國是維斯塔斯最為重要的新興市場之一，截至2021年6月30日，維斯塔斯在中國的裝機總量超過8.8吉瓦。     

參考來源：

https://www.cyberscoop.com/vestas-cyberattack-it-shutdown-wind-turbine/

澳大利亞電力供應商遭勒索軟件攻擊

安全周刊2021年12月9日報道，澳大利亞電力供應商 CS Energy 遭到勒索軟件攻擊，但該公司表示發電并未受到影響，并否認此次攻擊是由國家資助的威脅組織實施的說法。該攻擊于2021年11月27日被發現，該公司在幾天后向公眾通報了該事件。勒索軟件團伙Conti聲稱對此次攻擊事件負責。

位于昆士蘭的 CS Energy 為當地政府所有，為昆士蘭的數百萬家庭以及大型商業和工業客戶提供電力。CS Energy 表示，勒索軟件破壞了其公司網絡上的設備，該網絡迅速與其他內部網絡隔離，以防止惡意軟件傳播。

參考來源：

https://mp.weixin.qq.com/s/BCq6E6aYekfgBhfLpVCWjw

總結

聚焦中國市場，近三年，“等保2.0”制度、《關鍵信息基礎設施安全保護條例》、《中華人民共和國數據安全法》等國家重要法律法規的相繼出臺和實施為整體中國網絡安全市場的高速發展提供了政策保障。與此同時，攻擊事件的層出不窮使得中國的網絡安全威脅形勢變得愈發嚴峻，在政策、市場需求等因素的推動下，中國網絡安全市場迎來高速發展期。根據IDC最新預測，2021年中國網絡安全市場投資規模將達到97.8億美元，并有望在2025年增長至187.9億美元，五年CAGR約為17.9%，增速持續領跑全球。

未來一段時間，在技術創新、政策加持、需求升級和生態培育等因素綜合驅動下，我國工業信息安全產業將繼續保持高景氣度。在當前數字產業化、產業數字化加快發展的大背景下，做好工業信息安全工作對制造強國、網絡強國建設具有重要意義。威努特將始終以“專注工控，捍衛安全”為使命，致力于為我國關鍵信息基礎設施網絡空間安全保駕護航！