2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师VitekBoden因不满工作续约被拒而蓄意报复所为。这位前工程师通过一台手提电脑和一个无线发射器控制150个污水泵站。前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
2、美国Davis-Besse核电站受到Slammer蠕虫攻击事件
2003年1月,美国俄亥俄州Davis-Besse核电站和其他电力设备受到SQLSlammer蠕虫病毒攻击,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。经调查发现,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个无防护的链接,病毒就是通过这个链接进入核电站网络的。
3、法国一化工厂APC服务器感染nachi病毒事件
法国一化工厂高级过程控制(APC)服务器(Windows2000操作系统)因感染nachi病毒与生产网络断开导致生产中断5小时。
4、美国某化工厂的一个DCS控制系统感染震荡波蠕虫病毒事件
2004年,美国某化工厂的一个DCS控制系统被震荡波蠕虫病毒通过连接在防火墙的445端口入侵,该系统因被感染而失去控制超过5小时。
5、美国BrownsFerry核电站受到网络攻击事件
2006年8月,美国阿拉巴马州的BrownsFerry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在以太局域网中接受广播式数据通信。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两设备瘫痪。
6、宾夕法尼亚州水公司遭黑客入侵
2006年美国宾夕法尼亚州水公司遭黑客通过互联网成功入侵水公司雇员的电脑,远程利用该电脑在公司的电脑系统中安装间谍软件和病毒。公司确认远程攻击事件,修改所有的系统密码。
7、美国加州运河系统被入侵
8、美国Hatch核电厂自动停机事件
9、美国西弗吉尼亚州BayerCropscience化工厂发生爆炸和火灾事故事件
2008年8月美国西弗吉尼亚州BayerCropscience化工厂发生爆炸和火灾事故,导致两名运营商被炸死。爆炸发生前,化工厂把霍尼韦尔工业控制系统升级替代为完全不同的西门子系统,工厂安全管理制度存在明显失误,运营商未接受充分的操作培训,操作规范缺失。
10、震网事件
2010年,伊朗布什尔核电站发生震网病毒事件。有关专家分析,震网事件是由美国军方和以色列军方共同策划的一起针对伊朗布什尔核电站浓缩铀进行的一次有组织、有计划、有蓄谋的攻击。利用社工,以及windows和西门子wincc的漏洞,对西门子300系统PLC系统进行了逻辑炸弹攻击,使得布什尔核电站离心机控制系统遭受破坏,导致核电站延期运行,损失难以估量。
11、Duqu病毒(Stuxnet变种)事件
2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是,Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。前不久,已有企业宣称他们的设施中已经发现有Duqu代码。目前,Duqu僵尸网络已经完成了它的信息侦测任务,正在悄然等待中。没人知晓下一次攻击何时爆发。
12、Flame火焰病毒肆虐中东地区
13、美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统被攻击事件
据英国《每日邮报》2011年11月21日报道,美国基础设施控制体系专家称,黑客日前通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。
美国联邦调查局和国土安全部接入调查,成功追踪到位于俄罗斯的计算机。伊利诺伊州恐怖主义与情报中心公布报告称,黑客黑掉了一家美国公司的数据采集与监控系统软件(SCADA),然后偷到供水系统的用户名和密码,进而侵入。这种软件也在核电站以及钻油平台等关键设施中使用。
14、美国计算机故障造成原污水泄漏
2012年大约2百万加仑未经处理污水排入加利福尼亚圣伊西德罗提华纳的河流,PLC关闭泵站失败,控制失灵.这导致污水直接排入提华纳河。格兰特海洋生物学家在三个城市河口的沉积物,包括提华纳河河口帝国海滩发现抗生素耐药细菌,最后升级花费9千2百万美元让污染低于法定限值。
15、全球1018座发电站感染“Dragonfly”恶意程序事件
2014年7月赛门铁克近日曝光了名为“Dragonfly”的集团性质恶意程序活动,该程序允许远程对数千座电站进行访问。赛门铁克表示攻击者所使用的恶意程序目前仅对发电站系统进行侦查,但是未来当对系统了解充分并决定发起攻击的时候就能通过这些恶意程序向发电站进行攻击。受感染发电站为1018座,覆盖国所涉及的系统包括燃料供应和管道供应等等,可以预见一旦发生攻击对于国家的整个电力系统供应将会产生非常严重的影响。
16、乌克兰发生首例由恶意代码引发的停电事故
2015年乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电,成千上万户家庭受到此次停电的影响。这次大规模电力中断使得近一半的乌克兰伊万诺-弗兰科夫斯克地区的家庭陷入黑暗,乌克兰新闻通讯社TSN报道了此次大规模停电事件。来自杀毒软件提供商ESET公司的研究人员已经证实,乌克兰电力部门所感染的是一款名为”BlackEnergy(黑暗力量)”的恶意软件,该软件最初于2007年被发现,并通过不断地更新添加了许多新功能,其中包括使被感染的计算机无法重启的功能。
17、以色列电网勒索事件
这并不是一场网络攻击,只是普通的勒索软件,这起事件的始作俑者只关心钱,并不在乎目标是谁。我们之所以这样说是因为最近乌克兰电网受攻击事件让每个人都提心吊胆。乌克兰的电网事件中,攻击者使用BlackEnergy恶意软件渗透到乌克兰Prykarpattiaoblenergo当地供电公司。事件发生在圣诞节前后,恶意软件导致了部分电网关停,造成了严重的破坏。
18、BlackEnergy被曝再攻击乌克兰矿业和铁路系统
2016年2月,趋势科技在其发布的一篇博文声称:“与针对乌克兰矿业公司发动的攻击一样,我们还目睹KillDisk可能被用来攻击隶属乌克兰全国铁路系统的一家大型乌克兰铁路公司。这似乎是乌克兰电力公司感染造成的唯一余波。然而,我们没有证据表明BlackEnergy出现在铁路系统上,只能说它可能出现在网络的某个地方。”
专家们对这起攻击的几种原因进行了阐释;最合理的一种说法是具有政治动机的持续攻击者采取的攻势。旨在攻击乌克兰关键基础设施,破坏该国稳定性。
19、黑客组织修改化学物含量参数事件
2016年一个黑客组织入侵了一家废水处理公司的系统,无意中修改处理水中化学物的含量参数,因触发化合物异常安全警报而被发现。在调查中还发现了一个意料之外的情况,KWC公司只有一个员工管理AS400系统,也就是说当该名员工休息时候,该系统的防御会变得异常脆弱。
20、BlackEnergy被曝再攻击乌克兰矿业和铁路系统
21、瑞典国家空中管制系统遭到网络攻击
22、德国Gundremmingen核电站计算机系统发现恶意程序事件
德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测,关闭了发电厂,虽然仍然对外表示,并没有发生什么严重的问题。Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的BlockBIT网络中发现的。
据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。核电站表示,此设施的角色是装载和卸下核电站BlockB的核燃料,随后将旧燃料转至存储池。
23、“永恒之蓝”、“WannaCry“勒索病毒全球爆发。
永恒之蓝是指2017年4月14日晚,黑客团体ShadowBrokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、石油石化、发电、钢铁等行业中招,被勒索支付高额赎金才能解密恢复文件。
24、日本光学产品制造商Hoya遭受网络攻击
据报道,2019年2月日本光学产品制造商Hoya公司遭受了一次严重的网络攻击,100多台电脑感染了病毒,导致Hoya公司的用户ID和密码被黑客窃取。黑客还在攻击期间试图挖掘加密货币,工厂生产线因此停止了三天。
25、委内瑞拉的全国范围断电事件
2019年3月9日委内瑞拉首都使馆区也发生断电情况。古巴国务委员会主席兼部长会议主席迪亚斯-卡内尔认为,近日古里水电站事故导致委内瑞拉全国性停电事件,是针对委内瑞拉人民的恐怖袭击。
据俄罗斯卫星通讯社3月10日报道,迪亚斯-卡内尔在推特上发文写道:“委内瑞拉发生的这起电力事件,是一起严重的恐怖袭击事件,目的是打击委内瑞拉人民的抵抗并煽动军事入侵。”
3月7日,委内瑞拉古里大坝事故导致全国范围内停电。委内瑞拉国家电力公司称这是一起破坏事件,是针对委内瑞拉发起的电力战争。委内瑞拉总统马杜罗则指责是美国挑起这一事件。
26、铝业巨头挪威Norsk公司clockergoga勒索病毒攻击
2019年3月据外媒报道,全球最大铝生产商之一挪威海德鲁(NorskHydro)公司于本月19号遭到一款新型勒索软件LockerGoga攻击,企业IT系统遭到破坏,被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营。
27、美国Hexion和Momentive公司遭勒索软件攻击
2019年3月12日,Hexion和Momentive公司于遭到勒索软件的袭击,由于此次攻击,大量关键数据都从系统中丢失,公司的Windows计算机出现了蓝屏错误并且文件被加密。
根据Motherboard报道,该勒索软件与之前对挪威海德鲁公司的攻击有许多相似之处,因此研究人员也将此次攻击归因于LockerGoga勒索软件。
28、美国自来水公司OdintsovskyVodokanal遭勒索软件攻击
2019年4月15日,美国自来水公司OdintsovskyVodokanal被勒索软件攻击。该恶意软件对受感染设备和网络共享上的数据都进行了加密,危及到公司的技术文档,客户数据以及帐单系统。
29、美国飞机零部件供应商ASCO遭勒索软件攻击事件
2019年6月7日,世界上最大的飞机零部件供应商之一ASCO遭遇勒索病毒,已造成四个国家的工厂停产。勒索软件最先袭击了ASCO比利时公司的Zaventem工厂,由于被勒索软件感染导致IT系统瘫痪、工厂无法运营,已有1000名工人休假。另外,ASCO也关闭了德国、加拿大和美国的工厂,位于法国和巴西的非生产办事处未受影响。
30、阿根廷大规模停电事件
2019年6月16日,阿根廷发生大规模停电,首都布宜诺斯艾利斯的交通信号灯停止运作,地铁、城际铁路、公交车等公共交通全部停运,邻国乌拉圭、巴西、智利和巴拉圭部分地区的电力也中断。
阿根廷能源部长洛佩特吉在推特上说:“沿海输电系统早上发生故障并导致全国停电。目前我们无法确定到底出了什么问题。这是史无前例的事件,我们一定会彻查到底。”他表示,“虽然网络攻击不是主要假设,但不能排除这个可能性。”
31、美国纽约停电事件
另外有美方报道称:伊朗革命卫队信息战部队成功的突破了美国信息战部队的围堵,闯入了纽约市三十多个变电站的控制中心,并对控制中心进行信息站破坏,导致了纽约全城大约4个小时的停电。
32、乌克兰某核电站发现了挖矿设备事件
该电厂由国有企业Energoatom运营,注册为国家机密,这意味着其场地内不允许使用外部计算设备。与互联网进行外联挖矿,可能导致破坏了核设施的安全,并最终泄露核电站物理保护系统的机密信息。
33、委内瑞拉再次大范围停电事件
34、南非电力公司CityPower遭勒索软件攻击
35、印度核电公司遭受朝鲜黑客攻击
据有关报道,2019年9月,Kudankulam核电站遭受了攻击。该核电站两个反应堆有一个中止运行,恶意软件Dtrack的变体感染了核电站的管理网络,可能包括窃取设施的键盘记录、检索浏览器历史记录,以及列出正在运行的进程等,并不确定是否应能想到用于控制核反应堆控制网。
36、美国某电力系统因防火墙漏洞被攻击致运行中断
37、德国汽车零部件制造商境外工厂遭恶意软件攻击
2019年9月25号,总部位于德国的汽车零部件和国防解决方案提供商Rheinmetall宣布,由于受到恶意软件攻击,其在美国,巴西和墨西哥的汽车工厂的生产受到了干扰。
38、墨西哥国有石油公司Pemex遭勒索软件攻击
2019年11月10日,墨西哥国有石油公司Pemex遭受到勒索软件攻击,被索要565个比特币,约490万美元的赎金。报道称,Pemex受到了Ryuk勒索软件的影响,但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件,属于BitPaymer勒索软件的变种。
39、英国核电站遭受攻击
2000年10月13日四川二滩水电厂控制系统受到异常信号攻击,导致系统停机。水电厂7秒甩出力89MW,造成川渝电网几乎瓦解;
2003年龙泉、政平、鹅城换流站控制系统发现病毒,经调查发现是由外国技术人员在系统调试中用笔记本电脑上网所致;
2003年大庆石化炼油厂控制系统感染Conficker病毒,使得通讯出现不同程度的中断;
2004年某省电力营销系统计费数据被恶意篡改;
2006年,清华同方环境有限责任公司在中国华能集团公司德州电厂二期3号机组脱硫装置试运行过程中,旁路门突然非受控制性关闭,致使工作间内7人被埋,其中4人经抢救无效死亡;
2007年,法国电力公司全资企业广西来宾B电厂(2台36千瓦燃煤机组)因江边水泵房设备的控制和通讯完全中断,造成两台机组停运,全场对外停电;
2008年,华中(河南)电网因继电保护误操作、安全稳定控制装置拒动等原因引发一起重大电网事故,导致华中东部电网与川渝电网解列,华中电网与西北电网直流闭锁、与华北电网解列。
2011年吉林某电厂机组DCS系统感染W32/Conficker.worm.gen.A蠕虫病毒。
2017年“永恒之蓝”、“WannaCry“勒索病毒全球爆发,我国各加油站、政府、高校以及电力等行业受到不同程度的攻击。
2018年台积电WannaCry变种病毒,造成三大产线停摆三天,造成18亿损失。
2019年,我国在水利、石油石化、电力、钢铁、汽车制造以及其他关键制造业遭受到不同层次的WannaCry和挖矿病毒的攻击,大多数都导致了企业的工业主机出现蓝屏,反复重启、甚至数据被加密等。
通过对历年国内外安全事件的梳理不难发现,主要在电力(发电和电网)、水利、天然气、石油石化以及关键制造业等行业进行攻击。因为这些行业属于国家关键信息基础设施,承载着重大的国家命脉,威胁着社会民生、国家安全。所以,也不难分析出,这些攻击中不单纯是简单的攻击,必然存在国家势力的因素参与其中。
为什么安全事件频发不断,尤其从2017年以来,我们国内工业企业也开始频繁遭到攻击?
老马认为主要原因有以下几点:
1、当前全球正处于新一轮科技革命和产业变革的历史交汇期,以大数据、云计算、人工智能为代表的新一代信息技术与工业制造深度融合,工业制造加速由数字化向网络化、智能化发展。这样使得IT网络与工业制造(OT)进行了互联互通,导致病毒、木马、勒索软件、黑客等针对工业生产控制系统攻击变得更加方便,攻击成本更加低廉;
2、当下大国关系更加紧致,以美国为首的西方国家,正在封锁制裁其他国家技术的发展,如华为5G技术,达到政治目的。另一方面网络安全已经开始向继海、陆、空和太,成为第五战场布局;
3、工业控制系统本身也存在着大量的漏洞和后门(这是因为当时工业控制系统在设计时没有考虑安全性,只考虑了系统的稳定性、实时性、鲁棒性,牺牲了安全性),据CVE、CNVD等统计,西门子、施耐德、罗克韦尔、AB、ABB、艾默生、欧姆龙等占据首位。一旦这些漏洞和后门被病毒、木马、勒索软件甚至黑客、敌对势力所利用必然导致安全事件。在我国更加堪忧,由于我国工业控制系统基础弱,大部分控制系统被国外垄断,受制于人,国外厂商完全有能力、有手段对正在我国运行的工业控制系统进行远程操控,或者获取机密数据。再加上新基建下的工业互联网的大力发展,必然导致工业控制系统的广泛互联,如果不进行安全有力的保障措施必然给国外的黑客组织、敌对势力带来攻击的机会。