年初,美伊冲突波及网络,网络战一触即发。2月,美国网络安全和基础设施安全局(CISA)公告称,一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。4月24日至25日两天,伊朗对以色列的供水命令和控制系统展开攻击,以色列不仅确认伊朗就是发动攻击的罪魁祸首,特别强调这是一场非常不寻常的网络攻击。5月9日伊朗在位于霍尔木兹海峡附近的重要港口朗沙希德·拉贾伊遭以色列“高度精准”网络攻击,致使该港口发生严重混乱。在冠状病毒大流行期间有10多个医疗机构遭受了以冠状病毒为主题的网络攻击。美国CISA发布通告警醒,迹象表明,高持续威胁(APT)团体正在利用COVD-19大流行实施更加广泛的网络攻击。各种玩家粉墨登场。
01美国天然气管道遭受勒索软件攻击
2月,美国网络安全和基础设施安全局(CISA)发布公告,称一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。
攻击从钓鱼邮件内的恶意链接发起,从其IT网络渗透到OT网络, 勒索软件对IT和OT资产都造成了影响。攻击发生在该公司的天然气压缩设施,没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对执行部件的控制权。
根据CISA报告中提供的有限细节,攻击者最初使用包含恶意链接的鱼叉式网络钓鱼邮件攻击未公开名字的美国天然气管道运营商。安全意识不足的运维人员访问链接后使得身份不明的攻击者能够访问企业的IT网络,随后以IT网络为跳板攻击到OT网络的ICS资产。
为了排查问题并恢复运营,工作人员关闭了压缩设施两天,尽管勒索病毒仅直接锁定了一个控制设备的网络数据,但由于天然气传输对管道的依赖性,一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。而作为下游能源供应商,受天然气供应关闭影响的上游企业虽未公布,但波及范围可想而知。
02澳大利亚Toll集团持续遭受勒索软件攻击
2月,澳大利亚航运及物流公司Toll集团遭到勒索软件攻击,随后该公司便清理服务器,防止数据被盗。据悉,Toll集团四个月内已遭受二次勒索软件攻击。
经调查发现,被攻击系统中存在Nefilim勒索软件(由Nemty演变而来的新一代勒索软件),该勒索软件会利用暴露在外的远端桌面(RDP)连接端口进行传播,并使用AES-128算法来加加密文件。在盗走企业资料后,不法分子会以公布机密资料作为理由来勒索企业。
03钢铁制造商EVRAZ遭受勒索软件攻击
3月,钢铁制造商EVRAZ公司在北美分支机构,包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击,导致其在北美的分支机构瘫痪,大多数工厂都已停止生产。EVRAZ是全球最大的跨国垂直整合炼钢和采矿公司之一,该公司主要在俄罗斯运营,但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。
04以色列水利基础设施遭受重大网络攻击
4月,黑客攻击了以色列的水利设施。该国的废水处理厂、泵站、污水处理设施的SCADA系统多次遭受了网络攻击,以色列国家网络局发布公告称,各能源和水行业企业需要紧急更改所有联网系统的口令,以应对网络攻击的威胁。以色列计算机紧急响应团队(CERT)和以色列政府水利局也发布了类似的安全警告,水利局告知企业“重点更改运营系统和液氯控制设备”的口令,因为这两类系统遭受的攻击最多。
05欧洲能源巨头EDP遭勒索软件攻击
4月,葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击者声称,已获取EDP公司10TB的敏感数据文件,并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。
在反病毒系统检测到勒索软件后,该公司内部IT网络出现中断。为了预防起见,暂时隔离了公司网络,以便实施可消除残余风险的所有干预措施。这些连接已在第二天清晨安全恢复。电力资产和发电厂的远程控制系统没有发生重大问题,客户数据也没有暴露给第三方。由于内部IT网络暂时堵塞,客户服务活动可能会在有限的时间内暂时中断。
EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商,在全球四个大洲的19个国家/地区拥有业务,为超过1100万客户提供能源。
06伊朗霍尔木兹海峡的重要港口遭受网络攻击
5月9日,伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭遇网络攻击。调节船只、卡车、货物流通的计算机系统一度崩溃,致使该港口水路和道路运行发生严重混乱。
伊朗港口和海事组织总干事穆罕默德·拉斯塔德也就此事承认:不明身份的外国黑客令其港口计算机发生短暂性“停工”。但表示,网络攻击并没有渗透到核心计算机。据《以色列时报》报道,5月9日通往沙希德·拉贾伊港的高速公路上出现了长达数公里的交通拥堵,甚至一连几天,大量船只仍无法入港进行卸载。
有消息称,对此攻击事件以色列似乎予以了间接性承认。以色列陆军司令阿维夫·科哈维表示:“我们将继续使用各种军事工具和专门的战斗技术来伤害敌人。”
07台湾两大炼油厂遭受勒索软件攻击
5月,台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)在两天内都受到了网络攻击。
CPC首先受到攻击,而FPCC在第二天也遭受攻击。5月4日,对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台。
尽管仍接受信用卡和现金,但客户无法在加油站使用VIP支付卡或电子支付应用程序。CPC高管声称,破坏是由勒索软件引起的。
08瑞士铁路机车制造商Stadler遭勒索攻击
5月,瑞士铁路机车制造商Stadler对外披露,其近期遭受了网络攻击,攻击者设法渗透其IT网络,并用恶意软件感染了部分计算机,很可能已经窃取到部分数据。未知攻击者试图勒索Stadler巨额赎金,否则将会公开所盗取的数据。
Stadler是机架铁路车辆的全球领先制造商,主营产品包括高速火车,城际火车,区域火车和S-Bahn火车,地下火车,电车火车和有轨电车。该公司声称已针对该事件展开调查,并拒绝支付赎金,通过重新启动受影响系统,运行备份系统恢复运营。
09本田汽车Honda遭受勒索软件 Snake攻击
6月7日,本田汽车位于美国、欧洲及日本分公司的服务器,遭勒索软件攻击。本田随后在一份声明中表示:“本田可以确认发生了网络攻击。该问题正在影响访问计算机服务器及使用电子邮件以及使用内部系统的能力。此外对日本以外的生产系统也有影响。目前正在开展工作以最大程度地减少影响并恢复生产、销售和开发活动的全部功能。”与本田的轻描淡写不同,BBC的报道显示本田过去48小时遭遇了极为惨烈的勒索软件攻击:勒索软件已经传播到本田的整个网络,影响了本田的计算机服务器、电子邮件以及其他内网功能,目前本田正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。
该攻击事件影响了公司在全球的业务,导致电脑和其他装置无法作业,造成部分工厂停工,损失十分严重。
10阿塞拜疆政府和能源部门遭受黑客攻击
思科Talos威胁情报和研究小组的报告显示,已经发现有针对阿塞拜疆能源领域的威胁攻击,特别是与风力涡轮机相关的SCADA系统。
这些攻击针对的目标是阿塞拜疆政府和公用事业公司,恶意代码旨在感染广泛用于能源和制造业的监督控制和数据采集(SCADA)系统,在这些攻击中使用的新的基于Python的远程访问木马(RAT),称其为恶意软件PoetRAT。一旦它被投送到设备并执行,其操作员就可以指示它列出文件,获取有关系统的信息、下载和上传文件、截屏、复制和移动文件、在注册表中进行更改、隐藏和取消隐藏文件、查看和终止进程,以及执行操作系统命令。
除PoetRAT之外,攻击者还被发现将其他工具传送到被入侵的系统中,包括那些通过电子邮件或FTP窃取数据的工具,通过他们的网络摄像头记录受害者、记录键盘点击、从浏览器中窃取凭证、以及升级特权。
目前尚不清楚有多少次攻击成功。阿塞拜疆政府发言人未回应置评请求。
本文来源:天地和兴