2019全球工控安全大事記 - 工控新聞自動化新聞中華工控網

返回工控網首頁

中國自動化學會專家谘詢工作委員會指定宣傳媒體

免費注冊

中華工控網

廣告服務 | 客服中心

新聞詳情

2019全球工控安全大事記

http://www.kadhoai.com.cn 2026-04-07 22:30:51 來源：威努特工控安全

序

在繁忙的工作中不知不覺又迎來了新的一年，年末歲初，正是我們總結過去展望未來的時間。對於工控安全行業，2019年可以說是具有劃時代意義的一年。

5月1號，關鍵信息基礎設施安全保護條例被納入《國務院2019年立法工作計劃》，由網信辦、工業和信息化部、公安部負責起草。

12月1號，萬眾矚目的“等保2.0”正式開始實施，工業控製係統安全正式被納入等保2.0的評測範圍。

12月3號，國家標準《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作正式啟動。關鍵信息基礎設施網絡安全保護的主要內容包含公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，其中能源、交通、水利和很多公共服務都離不開工業控製係統。

除了這些政策法規，大家更關心更有興趣的是真實發生的安全事件或安全事故。安全行業和保險行業很相似，沒有事故發生時感覺不到它的存在和價值，隻有血淋淋的事故才能改變或加深大家的認識和看法。2019年發生了很多重大的工控安全事件，這些事件也將改變或加深我們對於工控安全以及關鍵信息基礎設施網絡安全的認識和看法。

本文彙編了2019年互聯網上披露的工業控製相關的安全事件或安全事故（很多工控安全事故不在網上披露），這些材料主要從國內、國外的各種官方和非官方網站收集整理而來，雖然我們盡量參考多方資料進行校對，但是難免會有不準確的地方。很hen多duo黑hei客ke組zu織zhi入ru侵qin攻gong擊ji的de細xi節jie都dou需xu要yao長chang期qi的de分fen析xi模mo擬ni才cai能neng反fan向xiang推tui測ce還hai原yuan當dang時shi真zhen實shi的de場chang景jing，所suo以yi今jin年nian發fa生sheng的de大da部bu分fen事shi件jian還hai沒mei有you最zui終zhong的de分fen析xi結jie果guo，目mu前qian隻zhi有you各ge方fang麵mian媒mei體ti、機構和專家的推測，甚至有些事件還不能確認為攻擊事件，大家僅作參考。

如ru果guo各ge位wei讀du者zhe發fa現xian錯cuo誤wu或huo失shi真zhen的de地di方fang，請qing不bu吝lin指zhi正zheng，如ru果guo發fa現xian侵qin犯fan了le您nin的de知zhi識shi產chan權quan，請qing盡jin快kuai聯lian係xi我wo們men，我wo們men將jiang在zai第di一yi時shi間jian響xiang應ying並bing確que認ren修xiu改gai。

彙總分析

2019年，全球各地工控安全問題事件數量逐步上升，今年工控安全事件的報告數量達到329件。從2012年至今年的工控安全事件報告數量程逐年上升趨勢，如下圖所示：

圖表 1 2012~2019 年全球工控安全事件報告數量（數據來源：中國產業信息）

工業控製的細分領域眾多，據調查近年來工控安全事件涉及超過15個行業，安全事件的行業分布如下圖所示：

圖表 2 工控安全事件所屬行業細分（數據來源：中國產業信息）

目前工控市場安全隻覆蓋到了其中部分行業的部分企業，要實現全麵防護還有許多路要走。

下麵我們來具體看一些網上公開的工業信息安全事件。

2019年1月

>>>愛爾蘭都柏林電車係統遭黑客攻擊

1月3日，據據《愛爾蘭審查員報》報道，控製愛爾蘭首都都柏林電車係統的網站Luas，早晨遭黑客入侵後下線，黑客要求五天內支付贖金。

1月3號一大早，該網站的訪問者收到了黑客發來的信息，聲稱已從運營商Transdev Ireland竊取了數據，若不支付一枚比特幣(約3300歐元或3800美元)的贖金，這些數據將會在網上發布。

圖表 3 都柏林電廠運營網站收到的勒索信

在zai這zhe封feng郵you件jian中zhong，黑hei客ke表biao示shi之zhi前qian已yi就jiu安an全quan漏lou洞dong問wen題ti聯lian係xi過guo電dian車che運yun營ying商shang，但dan運yun營ying商shang並bing未wei作zuo出chu回hui應ying，他ta們men對dui此ci感gan到dao不bu滿man。黑hei客ke這zhe次ci成cheng功gong地di吸xi引yin了leTransdev的注意，這一點在今早發給乘客的官方推特上得到證實，該推特提醒乘客不要訪問受感染的網站。Luas網站已經離線，工程師們正在審查其安全性。

>>>法國亞創集團遭勒索軟件攻擊

1月24日，攻擊者利用LockerGoga勒索軟件對亞創集團進行了勒索攻擊。

1月28日，亞創集團發布聲明，稱技術專家正在對此次勒索事件進行取證跟進。由於此次勒索事件，亞創集團暫停了全球多項業務。

法國亞創集團成立於1982年，是一家提供創新和工程谘詢服務的全球性公司，業務遍布全球30多個國家，涉及汽車、通信、生命科學、航空航天、國防、能源、金融和鐵路等行業。

圖表 4 法國亞創集團發布被網絡攻擊的聲明

圖表 5 法國亞創集團收到的勒索信

2019年2月

>>印度國有天然氣公司數據泄露

2月10號，外媒報道，由於網絡安全措施不到位，印度國有天然氣公司Indane又一次暴露了數以百萬計的Aadhaar生物識別數據庫信息。問題出在Indanemianxiangjingxiaoshanghequdaoshangdewangzhanshang，jinguangaiwangzhanxuyaoyouxiaodeyonghuminghemimayanzhengcainengjinxingfangwen，danbufenneirongyijingbeigugesousuoyinqingbianrusuoyin。ruciyilai，suoyourendounenggouraoguodengluyemian，zhijiehuodeduijingxiaoshangshujukudeziyoufangwenquanxian。

據悉，這些數據是由一名安全研究人員發現的，但因害怕印度當局的報複，他要求媒體在報道中匿名。

圖表 6 印度一個安全研究人員的私信

圖表 7 印度國有天然氣公司泄露的數據截圖

>>日本光學產品製造商Hoya遭受網絡攻擊

據外媒報道，日本光學產品製造商Hoya公司稱，公司在2月底遭受了一次嚴重的網絡攻擊，100多台電腦感染了病毒，導致Hoya公司的用戶ID和密碼被黑客竊取。黑客還在攻擊期間試圖挖掘加密貨幣，工廠生產線因此停止了三天。

Hoya公司是日本最大的公司之一，也是最大的光學產品生產商，它的年收入超過41億美元。

Hoya表(biao)示(shi)，網(wang)絡(luo)攻(gong)擊(ji)發(fa)生(sheng)後(hou)，一(yi)台(tai)控(kong)製(zhi)網(wang)絡(luo)的(de)計(ji)算(suan)機(ji)服(fu)務(wu)器(qi)首(shou)先(xian)停(ting)機(ji)，工(gong)人(ren)們(men)無(wu)法(fa)使(shi)用(yong)軟(ruan)件(jian)來(lai)管(guan)理(li)訂(ding)單(dan)和(he)生(sheng)產(chan)，因(yin)此(ci)工(gong)業(ye)產(chan)出(chu)比(bi)正(zheng)常(chang)水(shui)平(ping)下(xia)降(jiang)了(le)大(da)約(yue)40%。隨後，病毒也開始在其他電腦上感染，但最終在開始加密貨幣挖掘操作之前被成功阻止。

據稱攻擊已經持續了三天，受影響的工廠都位於泰國，不過有關攻擊的詳細信息尚未公布。

2019年3月

>>挪威海德魯公司遭勒索軟件攻擊

3月19日，挪威海德魯（Norsk Hydro）公司舉行新聞發布會，稱3月18日午夜，公司遭到勒索軟件攻擊，致使主機死機，導致生產業務中斷。參會的NorCERT（挪威國家應急響應中心）代表稱此次攻擊事件是由一個名為LockerGoga的勒索軟件發起的，可能涉及到對海德魯公司的Active Directory係統的攻擊。

海德魯公司創建於1905年，主要經營石油、能源、輕金屬（鋁、鎂）、石化產品、水電及設備、工業用化學品等，是世界最大的綜合性鋁業集團之一。

盡管海德魯公司安全部門竭盡全力防止感染蔓延，但該惡意軟件最後造成公司40個國家/地區的170個不同站點，約22,000taijisuanjibeigongji。gongsizaizaoyulesuoruanjiangongjizhihou，beipoguanbilejixiangjinshujiyajihua。wangluogongjishijianyingxianglegaigongsiduogeyewuqudeyunying，yanzhongdelesuoruanjiangongjidaozhiqiquanqiujisuanjiwangluoxitongdangji，wufalianjieqilvcaijiyajiejuefanganyewudeshengchanxitong，jieguozhishishujiagongchangtinggong，zaochenglejiqiyanzhongdeyunyingtiaozhanhejingjisunshi。

公司發言人解釋稱，第一季度網絡攻擊的整體財務影響估計為4-4.5億挪威克朗，但其公司已經與知名保險公司建立了強大的網絡保險業務。

公司證實，此次攻擊是受到了LockerGoga勒索軟件的影響，該軟件能夠加密帶有以下擴展名的文件：doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。

圖表 8 挪威海德魯公司收到的勒索信

研究人員稱，LockerGoga似乎不具備像WannaCry或NotPetya等其他惡意軟件那樣的傳播能力。相反，LockerGoga會計算受感染係統的Wi-Fi或以太網網絡適配器的數量，然後嚐試通過命令行（netsh.exe interface set interface disable）禁用它們，以斷開係統與外部的連接。

Trend Micro研究人員表示，“LockerGoga在加密之後以及注銷當前帳戶之前運行此程序。這是一個值得注意的特征。LockerGoga通過更改帳戶的密碼將用戶排除在係統之外，因此其文件勒索反而顯得不那麼重要。“

根據Unit 42的威脅情報副總裁Ryan Olson告訴Threatpost的信息，LockerGoga使用未記錄的Windows API調用進行通信，其中涉及WS2_32.dll，一個在Microsoft Windows中提供對網絡連接支持的dll文件。這意味著開發者對Microsoft Windows很熟悉，足以了解如何使用這些未記錄的API，開發人員可能正在構建一個大型的控製網絡，單純的勒索軟件中很少使用複雜的網絡功能。

思科威脅情報組織Talos的研究人員Liska表示，與其他複雜的勒索軟件不同，勒索通知中沒有支付贖金的說明，沒有比特幣或Monero錢(qian)包(bao)地(di)址(zhi)，但(dan)含(han)有(you)兩(liang)個(ge)電(dian)子(zi)郵(you)件(jian)地(di)址(zhi)來(lai)聯(lian)係(xi)攻(gong)擊(ji)者(zhe)。這(zhe)些(xie)功(gong)能(neng)引(yin)發(fa)了(le)更(geng)多(duo)關(guan)於(yu)黑(hei)客(ke)意(yi)圖(tu)的(de)猜(cai)測(ce)，因(yin)為(wei)勒(le)索(suo)軟(ruan)件(jian)通(tong)常(chang)是(shi)最(zui)不(bu)先(xian)進(jin)的(de)惡(e)意(yi)軟(ruan)件(jian)形(xing)式(shi)之(zhi)一(yi)，它(ta)們(men)是(shi)否(fou)受(shou)到(dao)經(jing)濟(ji)利(li)益(yi)或(huo)其(qi)他(ta)因(yin)素(su)的(de)驅(qu)使(shi)？動(dong)機(ji)是(shi)否(fou)隨(sui)著(zhe)時(shi)間(jian)而(er)改(gai)變(bian)？為(wei)什(shen)麼(me)他(ta)們(men)提(ti)供(gong)一(yi)個(ge)電(dian)子(zi)郵(you)件(jian)地(di)址(zhi)而(er)不(bu)是(shi)通(tong)過(guo)更(geng)常(chang)用(yong)的(de)加(jia)密(mi)貨(huo)幣(bi)來(lai)要(yao)求(qiu)支(zhi)付(fu)？

Liska告訴Threatpost，muqianhaimeiyouzhaodaogongjideyuanyin，haimeiyourenjiangzhecigongjiguijiuyushui，tamendemubiaomaosibushishujin，xiangshizaipohuaiguojiaanquan，danmuqianmeiyouzhengjubiaomingzheyidian。

>>委內瑞拉全國性停電事件

據法新社報道，3月7日下午4點50分(fen)，委(wei)內(nei)瑞(rui)拉(la)首(shou)都(dou)加(jia)拉(la)加(jia)斯(si)在(zai)夜(ye)幕(mu)降(jiang)臨(lin)之(zhi)前(qian)陷(xian)入(ru)停(ting)電(dian)狀(zhuang)態(tai)。全(quan)市(shi)數(shu)千(qian)房(fang)屋(wu)停(ting)電(dian)停(ting)水(shui)，地(di)鐵(tie)停(ting)止(zhi)運(yun)行(xing)，電(dian)話(hua)服(fu)務(wu)和(he)網(wang)絡(luo)接(jie)入(ru)服(fu)務(wu)無(wu)法(fa)使(shi)用(yong)。令(ling)人(ren)驚(jing)恐(kong)的(de)是(shi)，相(xiang)似(si)的(de)情(qing)況(kuang)同(tong)樣(yang)發(fa)生(sheng)在(zai)了(le)委(wei)內(nei)瑞(rui)拉(la)的(de)其(qi)他(ta)城(cheng)市(shi)，總(zong)統(tong)馬(ma)杜(du)羅(luo)表(biao)示(shi)，這(zhe)是(shi)拉(la)丁(ding)美(mei)洲(zhou)國(guo)家(jia)史(shi)上(shang)最(zui)嚴(yan)重(zhong)的(de)一(yi)場(chang)停(ting)電(dian)。

除了停水和各大公共設施及服務停止使用之外，委內瑞拉還關閉了學校、辦公室和商店，而更多的恐慌和混亂則發生在醫院裏。據法新社報道援引一位病患家屬稱，停電發生後，加拉加斯市中心JM de Rios兒童醫院的備用發電機未能啟動。馬杜羅周六透露，有超過50%的醫院未能啟動備用發電機。

當地時間3月7日，委內瑞拉全國電力供應公司Corpoelec報告稱，由於該國最大的電力設施——古裏水電大壩遭到“破壞”，委內瑞拉21個或23個州的停電情況。隨後，委內瑞拉進入全國搶修電力設施的狀態。

委內瑞拉總統馬杜羅在3月9日說，今天，我們已經恢複了該國70%的(de)領(ling)土(tu)供(gong)電(dian)，但(dan)就(jiu)在(zai)中(zhong)午(wu)，敵(di)對(dui)勢(shi)力(li)又(you)對(dui)我(wo)們(men)其(qi)中(zhong)一(yi)個(ge)電(dian)力(li)設(she)施(shi)發(fa)動(dong)了(le)網(wang)絡(luo)攻(gong)擊(ji)。在(zai)此(ci)之(zhi)前(qian)，該(gai)設(she)施(shi)運(yun)行(xing)良(liang)好(hao)。由(you)於(yu)這(zhe)個(ge)原(yuan)因(yin)，我(wo)們(men)本(ben)來(lai)在(zai)9日下午三點左右應該取得的所有進展都被中斷了。馬杜羅指責美國對委內瑞拉發動了一場電力能源戰爭。

電力完整恢複幾乎花了一個星期的時間。

圖表 9 委內瑞拉停電場景

根據俄羅斯衛星通訊社3月26號消息，委內瑞拉新聞和通信部長豪爾赫羅德裏格斯表示，該國電力係統再次遭到襲擊。

>>美國Hexion和Momentive公司遭勒索軟件攻擊

3月12日，Hexion和Momentive公司於遭到勒索軟件的襲擊，根據Momentive一位匿名員工的說法，該攻擊是在3月12日開始的，由於此次攻擊，大量關鍵數據都從係統中丟失，公司的Windows計算機出現了藍屏錯誤並且文件被加密。

Hexion和Momentive公司主要生產樹脂、有機矽和其他材料，由同一投資基金控製。

Momentive CEO發出的電子郵件中提到了由惡意軟件引起的“全球IT中斷”。根據電子郵件，該公司必須訂購數百台新計算機來替換受感染的計算機。

Hexion發布了一份新聞稿，稱此攻擊為網絡安全事件，阻止了公司網絡中某些係統和數據的訪問。

根據Motherboard報道，該勒索軟件與之前對挪威海德魯公司的攻擊有許多相似之處，因此研究人員也將此次攻擊歸因於LockerGoga勒索軟件。

2019年4月

>>日本豐田汽車公司遭黑客入侵

北京時間4月1日晚間消息，據美國科技媒體ZDNet報道，豐田汽車今日公布了第二起數據泄露事件，這也是該公司在過去五周內承認的第二起網絡安全事件。

豐田汽車表示，黑客入侵了其IT係統，並訪問了幾家銷售子公司的數據。這些子公司包括豐田東京銷售控股公司、東京汽車、東京豐田、豐田東京卡羅拉、豐田東京銷售網絡、雷克薩斯Koishikawa Sales公司、Jamil Shoji（雷克薩斯Nerima）和豐田西東京卡羅拉。

公司表示，黑客訪問的服務器存儲了多達310萬名客戶的銷售信息。豐田汽車稱，目前正在調查此事，以確定黑客是否泄露了他們可以訪問的任何數據。

豐田汽車強調，客戶的財務細節並未存儲在被黑客攻擊的服務器上。至於黑客可能訪問了哪些類型的數據，豐田汽車並未披露。

豐田汽車發言人今日向媒體表示：“我wo們men向xiang所suo有you使shi用yong豐feng田tian和he雷lei克ke薩sa斯si汽qi車che的de客ke戶hu表biao示shi歉qian意yi。我wo們men認ren真zhen對dui待dai這zhe一yi問wen題ti，並bing將jiang在zai經jing銷xiao商shang和he整zheng個ge豐feng田tian集ji團tuan中zhong徹che底di實shi施shi信xin息xi安an全quan措cuo施shi。”

圖表 10 日本豐田越南分公司遭受入侵攻擊

>>德國化工製藥企業拜耳公司遭黑客入侵

4月初，據德國電視一台的"每日新聞"（tagesschau.de）報道，拜耳公司（Bayer AG）向外證實，有黑客入侵了該公司的網絡係統。拜耳稱，公司的網絡安全中心在2018年初發現了一種名為"Winnti"的竊密病毒，並開始針對其實施防禦措施，但無法溯源獲知黑客最早何時進入係統。德國媒體報道，此次出擊的是一個目標明確、十分專業的黑客小組。

德國網絡安全組織(DCSO)的技術負責人羅爾（Andreas Rohr）對德廣聯表示，一旦確認公司網絡係統受到Winnti惡意程序入侵，就清楚地表明，該企業已成為有針對性的網絡攻擊的目標。DCSO是包括拜耳在內的多家德國大型企業於2015年共同成立的，任務之一是調查網絡經濟間諜活動。羅爾補充說，Winnti小組的發展速度很快。

據拜耳稱，Winnti小組的黑客以企業內網（Intranet）與互聯網（Internet）的接點以及授權係統作為入侵點，作案方式非常專業。但拜耳稱，目前沒有跡象表明已發生了數據失竊。

在最早發現該惡意軟件時，該公司沒有馬上刪除它，而是選擇對軟件進行秘密監視，以嚐試確定其目的以及負責植入惡意代碼的人員。

到2019年3月底，該惡意軟件被徹底刪除，公司的網絡係統已經得到清理徹查，根據拜耳掌握的情況，入侵者尚未采取積極行動，盜取數據信息。

>>美國自來水公司Odintsovsky Vodokanal遭勒索軟件攻擊

4月15日，美國自來水公司Odintsovsky Vodokanal被勒索軟件攻擊。該惡意軟件對受感染設備和網絡共享上的數據都進行了加密，危及到公司的技術文檔，客戶數據以及帳單係統。

攻(gong)擊(ji)者(zhe)的(de)目(mu)標(biao)是(shi)讓(rang)公(gong)司(si)付(fu)費(fei)以(yi)恢(hui)複(fu)其(qi)數(shu)據(ju)，但(dan)奧(ao)丁(ding)佐(zuo)夫(fu)斯(si)基(ji)沃(wo)多(duo)卡(ka)納(na)爾(er)拒(ju)絕(jue)支(zhi)付(fu)贖(shu)金(jin)，並(bing)向(xiang)卡(ka)巴(ba)斯(si)基(ji)尋(xun)求(qiu)幫(bang)助(zhu)。在(zai)分(fen)析(xi)了(le)加(jia)密(mi)的(de)數(shu)據(ju)樣(yang)本(ben)和(he)惡(e)意(yi)軟(ruan)件(jian)本(ben)身(shen)之(zhi)後(hou)，卡(ka)巴(ba)斯(si)基(ji)專(zhuan)家(jia)找(zhao)到(dao)了(le)一(yi)種(zhong)方(fang)法(fa)來(lai)恢(hui)複(fu)所(suo)有(you)信(xin)息(xi)，並(bing)在(zai)幾(ji)個(ge)小(xiao)時(shi)內(nei)將(jiang)解(jie)密(mi)軟(ruan)件(jian)發(fa)送(song)給(gei)了(le)受(shou)害(hai)公(gong)司(si)。

攻擊者通過Windows操作係統中內置的標準“遠程桌麵協議”服(fu)務(wu)滲(shen)透(tou)到(dao)組(zu)織(zhi)內(nei)的(de)網(wang)絡(luo)。攻(gong)擊(ji)者(zhe)能(neng)夠(gou)遠(yuan)程(cheng)破(po)解(jie)該(gai)帳(zhang)戶(hu)的(de)密(mi)碼(ma)，並(bing)在(zai)係(xi)統(tong)上(shang)獲(huo)得(de)授(shou)權(quan)。接(jie)下(xia)來(lai)，他(ta)們(men)以(yi)手(shou)動(dong)模(mo)式(shi)在(zai)受(shou)感(gan)染(ran)計(ji)算(suan)機(ji)上(shang)執(zhi)行(xing)了(le)惡(e)意(yi)軟(ruan)件(jian)，然(ran)後(hou)惡(e)意(yi)軟(ruan)件(jian)開(kai)始(shi)對(dui)文(wen)件(jian)進(jin)行(xing)加(jia)密(mi)。

根據卡巴斯基的數據分析，這種加密惡意軟件的大多數受害者位於俄羅斯。

>>歐洲重型汽車製造企業Aebi Sschmidt遭勒索軟件攻擊

4月25日，總部位於瑞士的專用汽車製造商Aebi Schmidt向客戶和業務合作夥伴通報說，由於網絡攻擊，其部分業務可能會中斷。

Aebi Sschmidt是(shi)歐(ou)洲(zhou)最(zui)大(da)的(de)製(zhi)造(zao)企(qi)業(ye)之(zhi)一(yi)，主(zhu)要(yao)業(ye)務(wu)是(shi)為(wei)建(jian)造(zao)機(ji)場(chang)和(he)製(zhi)造(zao)公(gong)路(lu)養(yang)護(hu)車(che)輛(liang)。據(ju)知(zhi)情(qing)人(ren)士(shi)稱(cheng)，公(gong)司(si)在(zai)網(wang)絡(luo)安(an)全(quan)事(shi)件(jian)發(fa)生(sheng)後(hou)中(zhong)斷(duan)了(le)運(yun)營(ying)。該(gai)公(gong)司(si)整(zheng)個(ge)國(guo)際(ji)網(wang)絡(luo)的(de)係(xi)統(tong)都(dou)崩(beng)潰(kui)了(le)，其(qi)中(zhong)受(shou)到(dao)破(po)壞(huai)最(zui)嚴(yan)重(zhong)的(de)是(shi)瑞(rui)士(shi)總(zong)部(bu)。此(ci)外(wai)，公(gong)司(si)的(de)電(dian)子(zi)郵(you)件(jian)服(fu)務(wu)器(qi)也(ye)受(shou)到(dao)了(le)嚴(yan)重(zhong)影(ying)響(xiang)。

事件曝光幾天後，該公司一名發言人通過社交媒體發布了一條消息，稱“部分係統因安全事故而中斷”，zhuyaowentishifuwuqiqiyeyoujianfashengguzhang。xiaoxihaizhengshileqitaxitongshoudaoleyixiesunhai。danfayanrenmeiyouchanshuxijie，zhichengzhuanjiazhengzainulihuifugongsiwangluohuanjing，zhekenengxuyaojiaochangdeshijian。

盡jin管guan該gai公gong司si尚shang未wei公gong開kai承cheng認ren遭zao遇yu勒le索suo軟ruan件jian攻gong擊ji，但dan該gai公gong司si一yi些xie員yuan工gong已yi證zheng實shi了le這zhe一yi點dian。此ci外wai，知zhi情qing人ren士shi還hai提ti到dao，該gai公gong司si的de許xu多duo係xi統tong仍reng然ran無wu法fa運yun行xing。此ci次ci攻gong擊ji的de相xiang關guan細xi節jie仍reng未wei公gong布bu，該gai網wang絡luo攻gong擊ji事shi件jian將jiang對duiAebi Sschmidt造成多少財務損失仍不得而知。

2019年6月

>>美國飛機零部件供應商ASCO遭勒索軟件攻擊

6月7日，勒索軟件最先襲擊了ASCO比利時公司的Zaventem工廠，由於被勒索軟件感染導致IT係統癱瘓、工廠無法運營，該公司目前已有1000名工人休假。另外，ASCO也關閉了德國、加拿大和美國的工廠，位於法國和巴西的非生產辦事處未受影響。

ASCO隸屬於世界500qiangzhiyidemeiguoaimoshengjituan，shishijieshangzuizhongyaodefeijilingbujianshejigongyingshangzhiyi。gaigongsideyixiekehubaokuohangkongyunshuhejunshilingyudedawan，rukongzhongkechegongsi，boyingongsi，pangbadigongsiheluokexidemadinggongsi。ASCO製造的零件用於F-35戰鬥機，空中客車A400M軍用飛機，空中客車和波音商用客機以及阿麗亞娜太空發射火箭等。

目前還不清楚ASCO是否已支付贖金以恢複其係統的訪問權限，從備份中恢複，或從頭開始購買新係統和重建其計算機網絡。

>>德國寶馬公司被黑客組織滲透事件

據外媒報道，有著國家級背景的黑客組織滲透進入寶馬公司的計算機網絡。針對寶馬汽車公司的攻擊始於2019年春，6月份時，寶馬公司將有關計算機進行了脫網，並正式對外公布。

在近期的一次采訪中，寶馬公司相關負責人表示：

“womenyijingduijiegouheliuchengjinxinglejinyibufangfan，keyizuidachengdujianshaoweijingshouquandewaiburenshifangwenwomenxitongdefengxian，tongshi，zaifashengmouxieshijianshi，womennengkuaisujinxingjiance、重建和恢複。”

寶馬公司在發現入侵行為時，並沒有立刻采取強硬措施，而是決定嵌入其植入係統的一個名為“ Cobalt Strike”的工具，這個工具可以方便地實現遠程投屏和控製計算機。

寶馬公司發現，該黑客組織應是從BR Recherche攻擊了計算機。其活躍的目的可能是收集更多信息，例如各地汽車銷量的報告。

據專家分析，攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”（Ocean Lotus）。繼關鍵基礎設施之後，汽車工業也成為國家級APT組織的重點攻擊目標。

作為“海蓮花”此(ci)次(ci)行(xing)為(wei)的(de)一(yi)部(bu)分(fen)，韓(han)國(guo)汽(qi)車(che)製(zhi)造(zao)商(shang)現(xian)代(dai)汽(qi)車(che)的(de)網(wang)絡(luo)也(ye)遭(zao)到(dao)了(le)攻(gong)擊(ji)。目(mu)前(qian)沒(mei)有(you)有(you)關(guan)此(ci)特(te)定(ding)事(shi)件(jian)的(de)詳(xiang)細(xi)信(xin)息(xi)，現(xian)代(dai)公(gong)司(si)也(ye)拒(ju)絕(jue)提(ti)供(gong)任(ren)何(he)評(ping)論(lun)。

圖表 11 安全專家的分析

>>美國被披露長期監控俄羅斯電力係統

6月15日，《紐約時報》援引美國現任和前任政府官員的話稱，美國正在加大對俄羅斯電網的網絡攻擊，“至少從2012年開始，美國已將偵查探測器置入俄羅斯電網的控製係統。”

圖表 12 紐約時報報道截圖

《紐約時報》稱(cheng)，美(mei)國(guo)此(ci)前(qian)從(cong)未(wei)嚐(chang)試(shi)在(zai)俄(e)羅(luo)斯(si)電(dian)網(wang)內(nei)部(bu)植(zhi)入(ru)惡(e)意(yi)程(cheng)序(xu)。此(ci)次(ci)攻(gong)擊(ji)可(ke)視(shi)為(wei)一(yi)次(ci)警(jing)告(gao)，也(ye)在(zai)告(gao)訴(su)世(shi)人(ren)，如(ru)果(guo)美(mei)俄(e)之(zhi)間(jian)產(chan)生(sheng)嚴(yan)重(zhong)衝(chong)突(tu)，那(na)麼(me)美(mei)方(fang)將(jiang)會(hui)采(cai)取(qu)網(wang)絡(luo)攻(gong)擊(ji)。

報(bao)道(dao)稱(cheng)，兩(liang)名(ming)白(bai)宮(gong)高(gao)官(guan)表(biao)示(shi)，美(mei)國(guo)總(zong)統(tong)特(te)朗(lang)普(pu)本(ben)人(ren)尚(shang)未(wei)收(shou)到(dao)此(ci)次(ci)行(xing)動(dong)的(de)任(ren)何(he)細(xi)節(jie)彙(hui)報(bao)。五(wu)角(jiao)大(da)樓(lou)和(he)美(mei)國(guo)情(qing)報(bao)部(bu)門(men)官(guan)員(yuan)稱(cheng)，他(ta)們(men)非(fei)常(chang)猶(you)豫(yu)是(shi)否(fou)要(yao)將(jiang)對(dui)俄(e)采(cai)取(qu)行(xing)動(dong)的(de)細(xi)節(jie)告(gao)訴(su)特(te)朗(lang)普(pu)，因(yin)為(wei)他(ta)們(men)擔(dan)心(xin)特(te)朗(lang)普(pu)的(de)反(fan)應(ying)，他(ta)可(ke)能(neng)會(hui)推(tui)翻(fan)行(xing)動(dong)，或(huo)轉(zhuan)而(er)與(yu)外(wai)交(jiao)人(ren)員(yuan)商(shang)議(yi)此(ci)事(shi)。

過去三個月內，《紐約時報》采cai訪fang了le一yi批pi白bai宮gong現xian任ren和he前qian任ren高gao官guan，他ta們men紛fen紛fen表biao示shi美mei國guo將jiang計ji算suan機ji代dai碼ma植zhi入ru俄e羅luo斯si電dian網wang和he其qi他ta目mu標biao可ke以yi視shi作zuo美mei國guo對dui俄e采cai取qu更geng具ju攻gong擊ji性xing的de戰zhan略lve。

據ju報bao道dao，美mei國guo國guo會hui去qu年nian通tong過guo軍jun事shi授shou權quan法fa案an，此ci次ci侵qin入ru俄e羅luo斯si電dian網wang似si乎hu正zheng是shi在zai新xin的de法fa律lv程cheng序xu下xia開kai展zhan的de。根gen據ju新xin法fa，美mei國guo防fang長chang可ke以yi在zai沒mei有you總zong統tong特te別bie批pi準zhun的de前qian提ti下xia授shou權quan開kai展zhan網wang絡luo空kong間jian“秘密軍事行動”。目前，特朗普政府不願評論此次行動是否屬於新法規定範疇。不過美國官員表示，美軍偵查俄羅斯電網至少可以追溯到2012年。

美國國家安全委員會官員拒絕評論此事。

>>阿根廷大規模停電事件

6月16日早7點左右，阿根廷發生大規模停電，首都布宜諾斯艾利斯的交通信號燈停止運作，地鐵、城際鐵路、公交車等公共交通全部停運，鄰國烏拉圭、巴西、智利和巴拉圭部分地區的電力也中斷。

阿根廷能源部長洛佩特吉在推特上說：“沿海輸電係統早上發生故障並導致全國停電。目前我們無法確定到底出了什麼問題。這是史無前例的事件，我們一定會徹查到底。”他表示，“雖然網絡攻擊不是主要假設，但不能排除這個可能性。”

16日晚，阿根廷能源部的聲明稱：“根據截止20時15分的數據，已恢複總需求量的98%。”從事該國電力分配的兩家公司Edesur和Edenor也發布消息稱，已恢複了為全部用戶提供服務。此外，烏拉圭國家電力公司發布消息稱，“已恢複早上發生故障期間中斷的98.5%服務。不過，恢複工作將持續至淩晨。“

能源部長Lopetegui表示對事件原因“不敢提出任何假設”，因為他尚未掌握所有必要信息。Lopetegui表示，這個“非同尋常”的事故本不該發生，“congjiandanguzhangfashengdenayikeqi，daozhenggeguojiadedianwangzaimeiyourenweiganyudeqingkuangxiawanquanduandian，zhiyoubudaoyimiaozhongdeshijian，erbengaigelideguzhangbufenquemeiyouzidongqieduan。zhezaiegentinglishishangcongweifashengguo。xianzaidewentishiyaogaomingbaiweishenmeyigemingmingyounenglishixianbufengelidexitonghuichuxianshiling？”

事故原因有待查明，阿根廷政府表示對周日停電造成的經濟損失目前仍無法估計。

2019年7月

>>美國紐約停電事件

當地時間7月13日晚，紐約曼哈頓發生大規模停電，包括中心地帶的時代廣場、地鐵站、電影院、百貨公司等均陷入一片漆黑。據悉，此次停電造成大約4.2萬名居民斷電，還有多人被困電梯。停電發生在晚上7點前，當時氣溫大約30攝she氏shi度du。紐niu約yue市shi長chang白bai思si豪hao在zai推tui特te上shang表biao示shi，紐niu約yue應ying急ji管guan理li辦ban公gong室shi正zheng在zai同tong紐niu約yue市shi警jing察cha局ju及ji紐niu約yue市shi消xiao防fang局ju等deng方fang麵mian通tong力li合he作zuo，應ying對dui此ci次ci停ting電dian事shi故gu。7月13日下午6點45分左右一直到午夜前，從紐約時報廣場到百老彙的近40個街區裏，千萬人受到停電影響。

圖表 13 紐約曼哈頓停電場景

據美國福克斯新聞報道，美國最大的私人能源公司之一，聯合愛迪生在7月14日發表聲明稱，此次大規模停電與一次“重大電力傳輸”有關。

聯合愛迪生公司總裁蒂姆·考利（Tim Cawley）表示，停電與該公司電網的需求量無關，並補充稱，隨著氣溫升高，該公司已做好準備應對夏季用電高峰。

聯合愛迪生公司稱將盡力調查此事，以確定事故根本原因所在。該公司發布的新聞稿內表示，“在(zai)接(jie)下(xia)來(lai)的(de)幾(ji)天(tian)或(huo)幾(ji)周(zhou)內(nei)，我(wo)們(men)的(de)工(gong)程(cheng)師(shi)和(he)相(xiang)關(guan)人(ren)員(yuan)將(jiang)仔(zai)細(xi)檢(jian)查(zha)與(yu)此(ci)次(ci)事(shi)件(jian)有(you)關(guan)的(de)設(she)備(bei)，並(bing)進(jin)行(xing)相(xiang)應(ying)的(de)數(shu)據(ju)分(fen)析(xi)，成(cheng)果(guo)將(jiang)會(hui)與(yu)公(gong)眾(zhong)分(fen)享(xiang)。”

當地時間7月15日，紐約愛迪生聯合公司官方回複：13日晚的紐約市的大麵積停電是變電站繼電保護係統失靈引起的。

巧合的是，美國媒體報道說，7月13日正好是紐約1977年大停電42周年紀念日。

另外有美方報導稱：伊(yi)朗(lang)革(ge)命(ming)衛(wei)隊(dui)信(xin)息(xi)戰(zhan)部(bu)隊(dui)成(cheng)功(gong)的(de)突(tu)破(po)了(le)美(mei)國(guo)信(xin)息(xi)戰(zhan)部(bu)隊(dui)的(de)圍(wei)堵(du)，闖(chuang)入(ru)了(le)紐(niu)約(yue)市(shi)三(san)十(shi)多(duo)個(ge)變(bian)電(dian)站(zhan)的(de)控(kong)製(zhi)中(zhong)心(xin)，並(bing)對(dui)控(kong)製(zhi)中(zhong)心(xin)進(jin)行(xing)信(xin)息(xi)站(zhan)破(po)壞(huai)，導(dao)致(zhi)了(le)紐(niu)約(yue)全(quan)城(cheng)大(da)約(yue)4個小時的停電。

美mei國guo軍jun方fang也ye有you人ren士shi透tou露lu，革ge命ming衛wei隊dui的de信xin息xi戰zhan部bu隊dui設she法fa滲shen透tou，甚shen至zhi可ke以yi遠yuan程cheng操cao控kong美mei國guo的de變bian電dian站zhan控kong製zhi係xi統tong。在zai大da規gui模mo停ting電dian發fa生sheng前qian，其qi中zhong一yi個ge變bian電dian站zhan控kong製zhi中zhong心xin的de操cao作zuo人ren員yuan發fa現xian顯xian示shi器qi上shang的de光guang標biao出chu現xian了le抖dou動dong現xian象xiang，而er當dang時shi他ta並bing沒mei有you操cao縱zong鼠shu標biao，當dang他ta試shi圖tu控kong製zhi光guang標biao時shi已yi經jing晚wan了le，鼠shu標biao已yi經jing不bu受shou控kong，隨sui即ji點dian擊ji了le總zong開kai關guan，自zi己ji拉la黑hei電dian網wang。

美軍信息站專家Robert Lee表示：“這是一次蓄謀已久並深思熟慮的高手作案。首先，伊朗的“網絡軍團”們將引導病毒引入美國變電站的計算機內。為此，他們將病毒軟件隱藏在電子郵件中，隻要美國電站操作員打開時就會自動啟動。“

>>烏克蘭某核電站發現了挖礦設備

7月10日，在南烏克蘭核電廠SE NAE Energoatom的中央控製麵板行政大樓104號辦公室被進行了授權搜查，發現並沒收了計算機設備和部件。被沒收的設備包括六台Radeon RX 470 GPU視頻卡，一塊主板，電源和延長線，一台USB和硬盤，以及安裝在發電廠的冷卻裝置。

同一天，在該核電廠的另一個地方的突擊檢查中發現了更多的數字貨幣采礦設備。該單位沒收了16個視頻卡，一個係統單元，其中包括軍用單元的庫存號，七個硬盤，兩個固態硬盤，一個USB閃存盤和一個路由器。

這些計算機設備並未在核電廠網絡內獲得授權，組成了一個可以訪問互聯網的單獨的局域網，並用於接收加密貨幣。此外，SBU員工在SUE NPP的其他場所發現並沒收了CTC聯合媒體轉換器，光纖和網絡電纜，理論上這些電纜都不應該出現在這些場所內。

該電廠由國有企業Energoatom運(yun)營(ying)，注(zhu)冊(ce)為(wei)國(guo)家(jia)機(ji)密(mi)，這(zhe)意(yi)味(wei)著(zhe)其(qi)場(chang)地(di)內(nei)不(bu)允(yun)許(xu)使(shi)用(yong)外(wai)部(bu)計(ji)算(suan)設(she)備(bei)。與(yu)互(hu)聯(lian)網(wang)進(jin)行(xing)外(wai)聯(lian)挖(wa)礦(kuang)，可(ke)能(neng)導(dao)致(zhi)破(po)壞(huai)了(le)核(he)設(she)施(shi)的(de)安(an)全(quan)，並(bing)最(zui)終(zhong)泄(xie)露(lu)核(he)電(dian)站(zhan)物(wu)理(li)保(bao)護(hu)係(xi)統(tong)的(de)機(ji)密(mi)信(xin)息(xi)。

2019年8月21日，烏克蘭安全局(SBU)因yin此ci事shi發fa起qi逮dai捕bu行xing動dong，此ci次ci事shi故gu被bei列lie為wei國guo家jia機ji密mi泄xie露lu事shi故gu。據ju當dang地di媒mei體ti報bao道dao，由you於yu有you人ren懷huai疑yi安an全quan發fa電dian廠chang數shu據ju泄xie漏lou，當dang局ju已yi啟qi動dong刑xing事shi訴su訟song程cheng序xu。

>>委內瑞拉再次大範圍停電事件

當地時間7月22日，委內瑞拉又一次遭遇大範圍停電，據路透社報道，委內瑞拉的23個州中有一半以上受到了停電影響。

停電發生約1xiaoshihou，weixinwenhetongxinbuchangluodeligesizaiweineiruilaguojiadianshitaifabiaojianghuashibiaoshi，chubutiaozhajieguoxianshi，zaochengbencidaguimotingdiandeyuanyinshiweigongdianxitongzhongzuizhuyaodegulishuidianzhanzaodaodiancigongji。weineiruiladianligongyingyu6成來自水力發電，而絕大多數電量由古裏水電站提供。

圖表 14 委內瑞拉停電區域

>>南非電力公司City Power遭勒索軟件攻擊

7月25號，南非約翰內斯堡City Power 電力公司遭勒索軟件攻擊，導致一些居民區的電力中斷。由 @CityPowerJhb 官方 Twitter 賬號公布的信息可知，這家企業負責為當地居民提供預付費電力供應，但惡意軟件加密了該公司的數據庫、內部網絡、Web Apps、以及官方網站。

該公司數據庫、網絡、應用程序等，遭勒索軟件加密而無法運作。這也導致客戶無法透過網站買電、賣電、上shang傳chuan發fa票piao及ji存cun取qu公gong司si網wang站zhan。雖sui然ran電dian廠chang緊jin急ji調tiao派pai人ren力li，但dan雪xue上shang加jia霜shuang的de是shi，電dian廠chang的de派pai工gong維wei修xiu係xi統tong也ye無wu法fa運yun作zuo，讓rang停ting電dian修xiu複fu的de作zuo業ye受shou到dao影ying響xiang，造zao成cheng用yong戶hu抱bao怨yuan電dian廠chang沒mei有you備bei援yuan機ji組zu，而er不bu能neng在zai這zhe段duan期qi間jian取qu代dai供gong電dian，斷duan電dian時shi間jian長chang達da12小時。

圖表 15 CityPowerJhb官方Twitter賬號公布的信息

2019年8月

>>我國部分醫療電力係統遭勒索軟件攻擊

騰訊安全禦見威脅情報中心通過蜜罐係統監測到Ouroboros勒索病毒在國內有部分傳播，監測數據表明，已有湖北、山東等地的醫療、電dian力li係xi統tong的de電dian腦nao遭zao遇yu該gai勒le索suo病bing毒du攻gong擊ji。經jing分fen析xi發fa現xian，該gai病bing毒du的de破po壞huai僅jin在zai部bu分fen有you限xian的de情qing況kuang可ke解jie密mi恢hui複fu，但dan在zai病bing毒du按an預yu期qi運yun行xing，基ji礎chu設she施shi完wan善shan情qing況kuang下xia，暫zan無wu法fa解jie密mi。

Ouroboros勒索病毒首次出現於2019年8月中旬，目前發現其主要通過垃圾郵件渠道傳播，由於其PDB路徑中包含Ouroboros故因此得名，該病毒加密文件後會添加 .Lazarus擴展後綴。

2019年9月

>>印度核電公司遭受朝鮮黑客攻擊

新聞社IANS 9月初的報道稱，Kudankulam核電站的兩個反應堆之一已中止運行，惡意軟件Dtrack的變體感染了核電站的管理網絡，可能包括竊取設施的鍵盤記錄、檢索瀏覽器曆史記錄，以及列出正在運行的進程等，並不確定是否應能想到用於控製核反應堆的關鍵內網。

該核電站主要由俄羅斯設計和提供反應堆機組，為印度南部電網提供電力。這座核電廠已成為印俄最大的合作項目之一。

圖表 16 印度庫丹庫拉姆核電站

Pukhraj Singh是一名印度的威脅情報分析師。據他透露，9月4日以前，第三方機構發現針對印度核電廠的網絡攻擊活動，並告知了他，於9月4日通報了英國NCSC機構，並在9月7日對外提起了此事件

圖表 17 Pukhraj Singh披露印度核電站事故

10月28日，某Twitter用戶披露了一個名為DTrack的病毒樣本，並且指出其內嵌了疑似與印度核電廠相關的用戶名KKNPP，隨後引發熱議。

10月29日ri，各ge大da新xin聞wen媒mei體ti公gong開kai披pi露lu該gai事shi件jian，並bing且qie印yin度du安an全quan人ren員yuan對dui曆li史shi情qing況kuang進jin行xing一yi些xie解jie釋shi和he說shuo明ming，並bing且qie披pi露lu攻gong擊ji者zhe已yi經jing獲huo取qu核he電dian廠chang內nei部bu域yu控kong級ji別bie的de訪fang問wen權quan限xian。

最初，核電站方麵否認他們遭受了任何惡意軟件感染，發表聲明將這些推文描述為“虛假信息”。

10月30日，這一被官方稱之為“虛假消息”的事件卻被自己推翻。他們在另一份聲明中承認核電站確實感染了黑客組織創建的惡意軟件，該軟件由黑客組織Lazarus Group開發，屬於Dtrack後門木馬的變體。

但dan是shi，核he電dian站zhan方fang麵mian也ye強qiang調tiao，朝chao鮮xian惡e意yi軟ruan件jian僅jin感gan染ran了le其qi管guan理li網wang絡luo，但dan未wei到dao達da其qi關guan鍵jian的de內nei部bu網wang絡luo，這zhe些xie內nei部bu網wang絡luo用yong於yu控kong製zhi發fa電dian廠chang的de核he反fan應ying堆dui。言yan外wai之zhi意yi，朝chao鮮xian攻gong擊ji並bing非fei造zao成cheng核he反fan應ying堆dui“停工”的原因。

韓國Issue Makers Lab的研究人員說，攻擊者為來自朝鮮的Kimsuky組織，並透露稱，攻擊印度核能部門的一名黑客正在使用僅在朝鮮生產和使用的朝鮮自有品牌的計算機。一名黑客使用的IP來自朝鮮的平壤。而朝鮮黑客知道印度工廠的IP網絡。他們滲透到了工廠內部，但沒有發送破壞性代碼。

Issue Maker Lab發現，黑客使用的計算機是在朝鮮生產且僅在朝鮮使用的型號。這幫助他們獲得了機器的MAC地址以及IP地址的詳細信息。兩者都帶有朝鮮簽名。他們的調查還發現，惡意軟件代碼中使用了朝鮮語。

美國《原子科學家公報》日ri前qian報bao道dao，雖sui然ran庫ku丹dan庫ku拉la姆mu核he電dian站zhan反fan應ying堆dui運yun行xing沒mei有you受shou到dao影ying響xiang，但dan這zhe一yi事shi件jian再zai次ci發fa出chu警jing告gao，人ren類lei社she會hui兩liang個ge最zui大da的de安an全quan風feng險xian，即ji網wang絡luo攻gong擊ji與yu核he威wei懾she，正zheng在zai發fa生sheng危wei險xian的de“碰撞”，其嚴重後果，完全可能演變為無法控製的人禍。

>>英國大範圍停電事件

路透社報道，9月9日晚高峰，英國遭遇大範圍停電，地鐵停運、機場癱瘓、交通信號燈熄滅，一些醫院甚至備用發電機熄火。按照英國交通警察的說法，這次停電及其造成的影響“史無前例”。

英國英格蘭、威爾士等地區遭遇停電，首都倫敦多個區域未能幸免。雖然停電時長最多1個小時，但是停電造成的“混亂狀況”預期會持續一整天。

停電恰逢周五晚，英國媒體說“這是一周中最繁忙的時段之一”，大量民眾剛剛結束一周的工作，搭乘地鐵、城際列車或飛機回家度周末。

英國這次停電規模較大，暫不清楚總共多少民眾受影響。西部電力公司估算，這家電企的大約50萬名用戶受停電影響。北部電力公司說，這家電企的大約11萬名用戶遭遇停電，東北部城市紐卡斯爾的機場和地鐵運行受影響。

英國國家電力公司披露，當天停電與兩台發電機出現故障相關，故障已經排除。

>>伊朗石油和金融設施遭受大範圍攻擊

當地時間9月22riwan，yilangzaoyuleyicidaguimoxiji，zhenggeyilangdewangluoxitongzaoyulebuminglaiyuandedaguimogongji，qizhongzhongdiangongjimubiaozaiyuyilangdeshiyouhejinrongsheshi，duicihaowuzhunbeideyilang，shoudaolecanzhongsunshi。zaiduanshijianzhinei，qijinrongheshiyousheshixunsutanhuan，yiqiezhengchangjiaoyidouwufajinxingxiaqu。haozaideheilanfangmianjishixiangeluosiqingqiuyuanzhu，eluosipaiqianledaliangwangluozhanzhuanjiayuanchengzhihuiyilangwangluoanquanbumenfanji，caiduguolezheyijie。

根(gen)據(ju)伊(yi)朗(lang)高(gao)層(ceng)不(bu)願(yuan)透(tou)露(lu)姓(xing)名(ming)的(de)官(guan)員(yuan)表(biao)示(shi)，目(mu)前(qian)俄(e)羅(luo)斯(si)已(yi)經(jing)確(que)定(ding)攻(gong)擊(ji)來(lai)源(yuan)正(zheng)是(shi)美(mei)國(guo)中(zhong)央(yang)情(qing)報(bao)局(ju)。中(zhong)情(qing)局(ju)希(xi)望(wang)用(yong)這(zhe)種(zhong)手(shou)段(duan)，讓(rang)伊(yi)朗(lang)暴(bao)露(lu)出(chu)自(zi)己(ji)的(de)弱(ruo)點(dian)，最(zui)終(zhong)達(da)到(dao)使(shi)得(de)伊(yi)朗(lang)方(fang)麵(mian)屈(qu)膝(xi)投(tou)降(jiang)的(de)目(mu)的(de)。

近(jin)日(ri)沙(sha)特(te)油(you)田(tian)被(bei)炸(zha)，美(mei)國(guo)指(zhi)責(ze)伊(yi)朗(lang)在(zai)背(bei)後(hou)搗(dao)鬼(gui)，揚(yang)言(yan)伊(yi)朗(lang)要(yao)為(wei)其(qi)負(fu)責(ze)。就(jiu)沙(sha)特(te)油(you)田(tian)事(shi)件(jian)，美(mei)伊(yi)關(guan)係(xi)再(zai)度(du)惡(e)化(hua)，所(suo)以(yi)美(mei)國(guo)在(zai)幕(mu)後(hou)支(zhi)持(chi)這(zhe)次(ci)網(wang)絡(luo)攻(gong)擊(ji)行(xing)動(dong)的(de)可(ke)能(neng)性(xing)極(ji)大(da)。

>>德國汽車零部件製造商境外工廠遭惡意軟件攻擊

9月25號，總部位於德國的汽車零部件和國防解決方案提供商Rheinmetall宣布，由於受到惡意軟件攻擊，其在美國，巴西和墨西哥的汽車工廠的生產受到了幹擾。

該攻擊於9月24日晚上開始，攻擊涉及一個未知的惡意軟件。該公司表示，該事件導致該惡意軟件進入IT係統的工廠受到“重大破壞”。

該公司認為，從攻擊中恢複需要花費兩到四周的時間，並且估計從第二次攻擊開始，該事件將導致每周損失300萬歐元（330萬美元）至400萬歐元（440萬美元）。該公司已向客戶保證，它將能夠在短期內交付訂單。

攻擊主要針對美洲（美國，墨西哥，巴西）的係統，而僅針對汽車係統。該地區以外和國防領域的其他係統目前都沒有受到影響。

2019年10月

>>伊朗阿巴丹煉油廠起火

10月20日，國際知名刊物作者，英國廣播公司（BBC）通訊員Babak Taghvaee在Twitter上附帶視頻發布伊朗阿巴丹煉油廠起火消息，並稱火災是由確認的網絡攻擊所為。

阿巴丹（Abadan）煉油廠建於1912年，是伊朗同類煉油廠中的最大的一家，也曾經是世界上最大的煉油廠，並且目前和中方企業存在合作關係。

圖表 18 Babak Taghvaee發布的消息和視頻

很巧的是，就在前幾日的10月16日，路透社援引美國兩名官員話稱“美在對伊朗發起秘密網絡攻擊行動，以還擊9月14日沙特石油被襲之恨”。

圖表 19 路透社發布的美國官員對伊朗發起網絡攻擊的報道

16日ri的de國guo防fang會hui議yi上shang，美mei國guo軍jun方fang向xiang特te朗lang普pu列lie出chu多duo項xiang打da擊ji伊yi朗lang的de選xuan項xiang，包bao含han攻gong擊ji位wei於yu伊yi朗lang阿e巴ba丹dan的de全quan球qiu最zui大da煉lian油you廠chang之zhi一yi，又you或huo位wei於yu哈ha爾er克ke島dao的de伊yi朗lang最zui大da石shi油you出chu口kou設she施shi，可ke重zhong創chuang伊yi朗lang的de石shi油you生sheng產chan及ji出chu口kou能neng力li。

一向忠實支持特朗普政策的共和黨參議員格雷厄姆，形容襲擊沙特石油設施屬“戰爭行動”，美(mei)國(guo)需(xu)果(guo)斷(duan)回(hui)應(ying)，包(bao)含(han)考(kao)慮(lv)攻(gong)擊(ji)伊(yi)朗(lang)煉(lian)油(you)廠(chang)。然(ran)而(er)，多(duo)名(ming)共(gong)和(he)黨(dang)參(can)議(yi)員(yuan)包(bao)含(han)參(can)院(yuan)外(wai)交(jiao)委(wei)員(yuan)會(hui)主(zhu)席(xi)裏(li)施(shi)，則(ze)敦(dun)促(cu)政(zheng)府(fu)避(bi)免(mian)倉(cang)促(cu)決(jue)定(ding)。可(ke)見(jian)，伊(yi)朗(lang)阿(e)巴(ba)丹(dan)此(ci)前(qian)就(jiu)被(bei)列(lie)為(wei)攻(gong)擊(ji)目(mu)標(biao)。

2019年11月

>>墨西哥國有石油公司Pemex遭勒索軟件攻擊

11月10日，墨西哥國有石油公司Pemex遭受到勒索軟件攻擊，被索要565 個比特幣，約490萬美元的贖金。不過Pemex表示，隻有不到5%的電腦受到了影響。不過根據內部備忘錄的說法，要求所有員工切勿打開電腦，在本周晚些時候再重新開機，但拒絕按攻擊者的要求在48小時內支付贖金。

在隨後的推特聲明中，Pemex表示他們的運作一切正常，燃料生產、供應和庫存沒有受到影響。

最初有報道稱，Pemex受到了Ryuk勒索軟件的影響，但泄露出的贖金信息和Tor付款網站都證實這是DoppelPaymer勒索軟件，屬於BitPaymer勒索軟件的變種。

在安全研究人員Pollo分享的贖金信息截圖中，我們可以清楚地識別出DoppelPaymer，這也和BitPaymer的贖金信息非常相似。

圖表 20 Pemex收到的勒索信截圖

2019年12月

>>英國核電站遭受攻擊

12月2號，電訊報和都市晨報報道，一份周末披露的報告稱英國一家核電廠遭到了網絡攻擊，目前仍然沒有恢複正常運營。

圖表 21 英國核電廠遭網絡攻擊

事件原委由telegraph公司提供，該媒體稱：GCHQ的子公司國家網絡安全中心（NCSC）一直在秘密地向英國一家核電公司提供援助，因為該公司在遭受網絡攻擊後一直難以恢複。

核退役局（NDA）使shi用yong信xin息xi自zi由you法fa獲huo得de的de一yi份fen報bao告gao提ti到dao，核he電dian公gong司si的de相xiang關guan工gong作zuo人ren員yuan意yi識shi到dao核he發fa電dian廠chang的de一yi項xiang重zhong要yao業ye務wu已yi受shou到dao網wang絡luo攻gong擊ji，造zao成cheng負fu麵mian影ying響xiang，目mu前qian必bi須xu依yi靠kaoNCSC的專業知識來應對，幫助業務恢複。該文件來自2019年3月13日的董事會委員會會議，這是首次成功證明對英國一家核公司進行網絡攻擊的證據。

目前尚不清楚網絡攻擊造成了什麼損害或網絡攻擊是否使公共安全受到威脅。NCSC拒絕列出參與攻擊的公司或提供有關攻擊的詳細信息。而負責清理舊核電廠和乏燃料的NDA說，提供詳細信息是“不適當的”，理由是“該事件與NDA集團以外的組織有關”。

這zhe些xie披pi露lu可ke能neng會hui促cu使shi人ren們men猜cai測ce英ying國guo核he電dian站zhan的de安an全quan漏lou洞dong，無wu法fa提ti供gong詳xiang細xi信xin息xi引yin起qi了le人ren們men對dui英ying國guo核he電dian部bu門men透tou明ming度du和he安an全quan性xing的de擔dan憂you。獨du立li核he研yan究jiu顧gu問wen戴dai維wei·洛瑞（David Lowry）表示，該部門將對透露的細節保持謹慎。他說，他們非常清楚，他們隻需要發生一次安全事件，就會破壞整個係統的安全聲譽。……僅(jin)出(chu)於(yu)聲(sheng)譽(yu)原(yuan)因(yin)，他(ta)們(men)承(cheng)受(shou)不(bu)了(le)失(shi)誤(wu)的(de)負(fu)擔(dan)。因(yin)此(ci)不(bu)會(hui)過(guo)多(duo)披(pi)露(lu)細(xi)節(jie)。但(dan)從(cong)描(miao)述(shu)來(lai)看(kan)，此(ci)次(ci)網(wang)絡(luo)攻(gong)擊(ji)很(hen)有(you)可(ke)能(neng)已(yi)經(jing)獲(huo)取(qu)到(dao)極(ji)高(gao)的(de)係(xi)統(tong)權(quan)限(xian)，否(fou)則(ze)僅(jin)靠(kao)隔(ge)離(li)受(shou)害(hai)主(zhu)機(ji)從(cong)而(er)批(pi)量(liang)重(zhong)裝(zhuang)係(xi)統(tong)的(de)方(fang)式(shi)即(ji)可(ke)進(jin)行(xing)業(ye)務(wu)恢(hui)複(fu)。

其中，原文稱關於攻擊目標的猜測可能集中在法國電力公司（EDF）上，法國電力公司在英國主導著核能發電。而該公司卻拒絕在本周末就此事發表評論。

>>美國RavnAir航空公司遭受網絡攻擊

12月22日，據報道，黑客發起了一次針對Ravn Air航空公司的網絡攻擊，最終導致飛機維修等關鍵係統關閉，迫使Ravn Air航空公司取消了至少6個阿拉斯加的航班，影響了約260名乘客。

該航空公司在一份書麵聲明中表示，因為網絡攻擊迫使其斷開了Dash 8的維護係統和備份，因此公司在中午之前取消了所有涉及Dash 8飛機的航班。該航空公司為阿拉斯加的100多個社區提供服務，其中許多社區無法通過公路到達。目前，Ravn Air航空公司正在與美國聯邦調查局和網絡安全專家合作，以恢複係統並調查網絡攻擊。

23號，公司對外宣布：我們將盡快在Dash-8航班上按照正常的時間表運行，我們將嚐試在接下來的兩天內增加航班數量，盡可能在其他航班上重新為受影響乘客安排座位。

>>中東遭伊朗惡意軟件ZeroCleare攻擊

12月20號，IBM的X-Force事件響應和情報服務（IRIS）發布報告，披露了一種全新的破壞性數據清除惡意軟件 ZeroCleare，該惡意軟件以最大限度刪除感染設備數據為目標。

IBM雖沒有透露此次遭受攻擊的具體公司，但可以確認ZeroCleare瞄準的是中東的能源和工業部門，初步估算已有1400台設備遭感染。ZeroCleare用來執行破壞性攻擊，主要是擦除主引導記錄（MBR），並損壞大量網絡設備上的磁盤分區，說白了就是大肆刪數據。

IBM報告也證實，ZeroCleare和破壞性惡意軟件Shamoon同宗，都是出自伊朗資助的頂級黑客組織之手。不同的是，Shamoon 來自APT33組織，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）組織協作開發。

圖表22 IBM發布的ZeroCleare惡意軟件報告截圖

伊朗黑客組織APT34（Oilrig）至少從2014年起就瞄準中東和國際受害者，目標也多集中在金融、政府、能源、化工和電信等關乎國家安全的重要領域。可以說，APT34的整體攻擊動向，與伊朗國家利益和作戰時間安排保持高度一致。

通過各種網絡手段，幫助政府達成政治、經濟、軍事目的，是APT34一類國家級黑客組織行動的核心。今年早期，APT34（Oilrig）就曾偽裝成劍橋大學相關人員，使用LinkedIn傳送惡意文件，進行網絡釣魚攻擊，預謀竊取重要信息。

從披露的攻擊進程來看，執行ZeroCleare惡意程序前，黑客會先通過暴力攻擊，訪問安全性較弱的公司網絡帳戶，而當拿到公司服務器帳戶的訪問權限後，就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨後，攻擊者便會在入侵設備商，開啟橫向擴散模式，部署ZeroCleare數據摧毀惡意軟件，上演破壞性的數據擦除攻擊。至於攻擊細節上，一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。

EldoS RawDisk是一個主要用於與文件、磁盤和分區進行交互的合法工具包。為了順利運行ZeroCleare，攻擊者會先通過名為soy.exe的中間文件，加載易受攻擊簽名驅動程序VBoxDrv，強製（DSE）接受並運行驅動程序。

成功拿到權限後，ZeroCleare就會通過濫用合法工具包EldoS RawDisk的方式，擦除MBR並損壞大量網絡設備上的磁盤分區，達到破壞性攻擊的目的。

值得一提的是，為了獲得設備核心的訪問權限，ZeroCleare還會使用易受攻擊的驅動程序和惡意的PowerShell / Batch腳本，繞過Windows控件。

>>韓國數百家工業企業文件被竊取

12月18號，美國物聯網及工控係統安全公司CyberX威wei脅xie情qing報bao小xiao組zu公gong布bu了le一yi項xiang針zhen對dui韓han國guo工gong業ye企qi業ye的de高gao級ji持chi續xu性xing間jian諜die活huo動dong。據ju介jie紹shao，攻gong擊ji者zhe會hui使shi用yong帶dai有you惡e意yi附fu件jian的de魚yu叉cha式shi網wang絡luo釣diao魚yu電dian子zi郵you件jian，偽wei裝zhuang成chengPDF文件發動攻擊。成功入侵後，攻擊者會從瀏覽器和電子郵件客戶端中竊取登錄數據，還會搜尋各種類型的文檔和圖像。

值得注意是，一旦有關工業設備設計的專有信息、商業秘密、zhishichanquanbeiqiequ，qingzegongjizhehuiduigongjimubiaojinxingwangluozhencha，fadonglesuogongji，huozhejiangzhexiexinxichushougeijingzhengduishouhexunqiutigaoqijingzhengdiweideguojia；重則攻擊者可以憑借對IoT / ICS網絡的遠程RDP訪fang問wen權quan限xian，對dui該gai國guo重zhong要yao且qie具ju有you軍jun事shi意yi義yi的de工gong廠chang布bu局ju了le如ru指zhi掌zhang，並bing可ke在zai某mou關guan鍵jian時shi刻ke，直zhi接jie對dui該gai國guo的de工gong業ye企qi業ye和he關guan鍵jian基ji礎chu設she施shi進jin行xing破po壞huai性xing打da擊ji。

另ling外wai，危wei機ji比bi我wo們men想xiang象xiang的de還hai要yao快kuai。據ju統tong計ji，已yi有you數shu百bai家jia韓han國guo工gong業ye企qi業ye受shou到dao影ying響xiang。其qi中zhong，最zui大da受shou害hai者zhe為wei一yi家jia關guan鍵jian基ji礎chu設she施shi設she備bei的de製zhi造zao商shang，它ta專zhuan為wei化hua工gong廠chang，輸shu電dian、配電設施或可再生能源行業的公司提供產品。此外，鋼鐵製造商、化工廠建設公司、管道製造商、閥門製造商、工程公司等相關企業也確認受到影響。

更糟糕的是，攻擊活動已波及全球。數據顯示，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業係統也不同程度受到影響。

該APT組織使用Separ惡意軟件新版本竊取敏感數據和文件，包括工程布局、有關工業設備設計的專有信息等。截至目前，已影響了至少200個係統，受害者約60％的企業為韓國工業企業。此外，泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業企業也不同程度受到影響。

圖表 23 Separ惡意軟件影響範圍

總結和展望

整理完2019年nian的de工gong控kong相xiang關guan安an全quan事shi件jian，心xin情qing頗po為wei複fu雜za。工gong控kong行xing業ye安an全quan事shi故gu一yi旦dan發fa生sheng，帶dai來lai的de影ying響xiang不bu可ke估gu量liang，不bu僅jin有you巨ju大da的de經jing濟ji損sun失shi，也ye帶dai來lai巨ju大da的de社she會hui影ying響xiang，直zhi接jie影ying響xiang到dao成cheng千qian上shang萬wan人ren的de日ri常chang生sheng活huo。

總結2019年全球工控安全事件，可以得出下麵幾個結論：

1、黑客組織的重點攻擊目標是製造行業和能源行業，個人黑客較少針對工控行業發起攻擊。

2、製造行業，主要遭遇勒索軟件和信息竊取攻擊。勒索軟件導致生產線停工對工廠帶來巨大的經濟壓力，惡意分子要求他們迅速付款以恢複運營，而且，停機、清理、hetongzhifuhegujiaxiadiezhijiandechengbenkenengshijudaerwufaguliangde。lingwaizhizaoxingyedejimishujuyejuyoujiqizhongyaodeshangyejiazhi，shiyouzuzhideheikedezhongdianmubiao。一些重要的大型製造廠商也可能遭遇國家級黑客組織的攻擊，這些攻擊不以勒索為目的，而是為了破壞生產，造成嚴重的經濟損失。

3、能源行業（包括電力、石油等），主要遭遇破壞性攻擊。能源行業是社會正常運行的基礎，沒有電、沒有石油，現代社會無法正常運行。從早些年的“震網”事件，到今年這些核電站、水電等電力係統和煉油廠的安全事件，充分表明針對能源行業的攻擊事件正越來越多。

4、黑客組織的國家背景凸顯。低廉的攻擊代價和高危的攻擊結果，讓破壞性攻擊逐漸泛化，越來越多擁有國家支持背景的黑客，開始利用破壞性攻擊緊盯能源、製造、金融等關鍵性重要領域。

總體來看，工控安全行業還有很長的路要走，還有很大的市場要開拓，相應也有很大的壓力要承擔，可謂是“任重而道遠”。針(zhen)對(dui)工(gong)控(kong)行(xing)業(ye)的(de)網(wang)絡(luo)攻(gong)擊(ji)和(he)竊(qie)密(mi)，可(ke)以(yi)用(yong)很(hen)小(xiao)的(de)投(tou)入(ru)，換(huan)來(lai)極(ji)大(da)的(de)破(po)壞(huai)力(li)或(huo)收(shou)益(yi)，正(zheng)被(bei)越(yue)來(lai)越(yue)多(duo)的(de)黑(hei)客(ke)組(zu)織(zhi)所(suo)重(zhong)視(shi)，類(lei)似(si)的(de)安(an)全(quan)事(shi)件(jian)今(jin)後(hou)還(hai)會(hui)越(yue)來(lai)越(yue)多(duo)。“沒有網絡安全就沒有國家安全”，gongkonganquangengshizhijieguanxidaoguojiminsheng，guanxidaoguojiaanquan，zerenzhongda。yuelaiyueduoguojiabeijingdeheikezuzhichuxian，wangluogongjiheqiemiyijingzhujianchengweimouxieguojiaheheikezuzhiderichanghuodong，zhedouweiwangluoanquanfanghudailaijidadekunnan。chulechuantongdeanquanfanghushouduan，gongkonganquanfanghugongzuobixuzhuanbiansilu，yiheikedejiaodulaisikaowenti，zuoanquanfanghu。

我國各級網信部門、工廠企業、能neng源yuan部bu門men和he金jin融rong部bu門men等deng都dou應ying以yi習xi總zong書shu記ji關guan於yu網wang絡luo強qiang國guo的de重zhong要yao思si想xiang為wei指zhi導dao，樹shu立li正zheng確que的de網wang絡luo安an全quan觀guan，全quan麵mian貫guan徹che落luo實shi總zong體ti國guo家jia安an全quan觀guan，強qiang化hua關guan鍵jian信xin息xi基ji礎chu設she施shi防fang護hu，加jia強qiang網wang絡luo安an全quan信xin息xi統tong籌chou機ji製zhi、手段、平台建設，不斷創新網絡安全人才培養使用機製，深入開展網絡安全知識技能普及工作，全方位築牢國家網絡安全屏障、推進網絡強國建設。

相關新聞

編輯精選

工控原創

版權所有工控網 Copyright©2026 Gkong.com, All Rights Reserved