2019全球工控安全大事记

序

在繁忙的工作中不知不觉又迎来了新的一年，年末岁初，正是我们总结过去展望未来的时间。对于工控安全行业，2019年可以说是具有划时代意义的一年。

5月1号，关键信息基础设施安全保护条例被纳入《国务院2019年立法工作计划》，由网信办、工业和信息化部、公安部负责起草。

12月1号，万众瞩目的“等保2.0”正式开始实施，工业控制系统安全正式被纳入等保2.0的评测范围。

12月3号，国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》（报批稿）试点工作正式启动。关键信息基础设施网络安全保护的主要内容包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，其中能源、交通、水利和很多公共服务都离不开工业控制系统。

除了这些政策法规，大家更关心更有兴趣的是真实发生的安全事件或安全事故。安全行业和保险行业很相似，没有事故发生时感觉不到它的存在和价值，只有血淋淋的事故才能改变或加深大家的认识和看法。2019年发生了很多重大的工控安全事件，这些事件也将改变或加深我们对于工控安全以及关键信息基础设施网络安全的认识和看法。

本文汇编了2019年互联网上披露的工业控制相关的安全事件或安全事故（很多工控安全事故不在网上披露），这些材料主要从国内、国外的各种官方和非官方网站收集整理而来，虽然我们尽量参考多方资料进行校对，但是难免会有不准确的地方。很多黑客组织入侵攻击的细节都需要长期的分析模拟才能反向推测还原当时真实的场景，所以今年发生的大部分事件还没有最终的分析结果，目前只有各方面媒体、机构和专家的推测，甚至有些事件还不能确认为攻击事件，大家仅作参考。

如果各位读者发现错误或失真的地方，请不吝指正，如果发现侵犯了您的知识产权，请尽快联系我们，我们将在第一时间响应并确认修改。

汇总分析

2019年，全球各地工控安全问题事件数量逐步上升，今年工控安全事件的报告数量达到329件。从2012年至今年的工控安全事件报告数量程逐年上升趋势，如下图所示：

 图表 1 2012~2019 年全球工控安全事件报告数量（数据来源：中国产业信息）

工业控制的细分领域众多，据调查近年来工控安全事件涉及超过15个行业，安全事件的行业分布如下图所示：

图表 2 工控安全事件所属行业细分（数据来源：中国产业信息）

目前工控市场安全只覆盖到了其中部分行业的部分企业，要实现全面防护还有许多路要走。

下面我们来具体看一些网上公开的工业信息安全事件。

2019年1月

>>>爱尔兰都柏林电车系统遭黑客攻击

1月3日，据据《爱尔兰审查员报》报道，控制爱尔兰首都都柏林电车系统的网站Luas，早晨遭黑客入侵后下线，黑客要求五天内支付赎金。

1月3号一大早，该网站的访问者收到了黑客发来的信息，声称已从运营商Transdev Ireland窃取了数据，若不支付一枚比特币(约3300欧元或3800美元)的赎金，这些数据将会在网上发布。

图表 3 都柏林电厂运营网站收到的勒索信

在这封邮件中，黑客表示之前已就安全漏洞问题联系过电车运营商，但运营商并未作出回应，他们对此感到不满。黑客这次成功地吸引了Transdev的注意，这一点在今早发给乘客的官方推特上得到证实，该推特提醒乘客不要访问受感染的网站。Luas网站已经离线，工程师们正在审查其安全性。

>>>法国亚创集团遭勒索软件攻击

1月24日，攻击者利用LockerGoga勒索软件对亚创集团进行了勒索攻击。

1月28日，亚创集团发布声明，称技术专家正在对此次勒索事件进行取证跟进。由于此次勒索事件，亚创集团暂停了全球多项业务。

法国亚创集团成立于1982年，是一家提供创新和工程咨询服务的全球性公司，业务遍布全球30多个国家，涉及汽车、通信、生命科学、航空航天、国防、能源、金融和铁路等行业。

图表 4 法国亚创集团发布被网络攻击的声明

图表 5 法国亚创集团收到的勒索信

2019年2月

>>印度国有天然气公司数据泄露

2月10号，外媒报道，由于网络安全措施不到位，印度国有天然气公司Indane又一次暴露了数以百万计的Aadhaar生物识别数据库信息。问题出在Indane面向经销商和渠道商的网站上，尽管该网站需要有效的用户名和密码验证才能进行访问，但部分内容已经被谷歌搜索引擎编入索引。如此一来，所有人都能够绕过登陆页面，直接获得对经销商数据库的自有访问权限。

据悉，这些数据是由一名安全研究人员发现的，但因害怕印度当局的报复，他要求媒体在报道中匿名。

图表 6 印度一个安全研究人员的私信

图表 7 印度国有天然气公司泄露的数据截图

>>日本光学产品制造商Hoya遭受网络攻击

据外媒报道，日本光学产品制造商Hoya公司称，公司在2月底遭受了一次严重的网络攻击，100多台电脑感染了病毒，导致Hoya公司的用户ID和密码被黑客窃取。黑客还在攻击期间试图挖掘加密货币，工厂生产线因此停止了三天。

Hoya公司是日本最大的公司之一，也是最大的光学产品生产商，它的年收入超过41亿美元。

Hoya表示，网络攻击发生后，一台控制网络的计算机服务器首先停机，工人们无法使用软件来管理订单和生产，因此工业产出比正常水平下降了大约40%。随后，病毒也开始在其他电脑上感染，但最终在开始加密货币挖掘操作之前被成功阻止。

据称攻击已经持续了三天，受影响的工厂都位于泰国，不过有关攻击的详细信息尚未公布。

2019年3月

>>挪威海德鲁公司遭勒索软件攻击

3月19日，挪威海德鲁（Norsk Hydro）公司举行新闻发布会，称3月18日午夜，公司遭到勒索软件攻击，致使主机死机，导致生产业务中断。参会的NorCERT（挪威国家应急响应中心）代表称此次攻击事件是由一个名为LockerGoga的勒索软件发起的，可能涉及到对海德鲁公司的Active Directory系统的攻击。

海德鲁公司创建于1905年，主要经营石油、能源、轻金属（铝、镁）、石化产品、水电及设备、工业用化学品等，是世界最大的综合性铝业集团之一。

尽管海德鲁公司安全部门竭尽全力防止感染蔓延，但该恶意软件最后造成公司40个国家/地区的170个不同站点，约22,000台计算机被攻击。公司在遭遇勒索软件攻击之后，被迫关闭了几项金属挤压计划。网络攻击事件影响了该公司多个业务区的运营，严重的勒索软件攻击导致其全球计算机网络系统宕机，无法连接其铝材挤压解决方案业务的生产系统，结果致使数家工厂停工，造成了极其严重的运营挑战和经济损失。

公司发言人解释称，第一季度网络攻击的整体财务影响估计为4-4.5亿挪威克朗，但其公司已经与知名保险公司建立了强大的网络保险业务。

公司证实，此次攻击是受到了LockerGoga勒索软件的影响，该软件能够加密带有以下扩展名的文件：doc、dot、wbk、docx、dotx、docb、xlm、xlsx、xltx、xlsb、xlw、ppt、pot、pps、pptx、potx、ppsx、sldx和pdf。

图表 8 挪威海德鲁公司收到的勒索信

研究人员称，LockerGoga似乎不具备像WannaCry或NotPetya等其他恶意软件那样的传播能力。相反，LockerGoga会计算受感染系统的Wi-Fi或以太网网络适配器的数量，然后尝试通过命令行（netsh.exe interface set interface disable）禁用它们，以断开系统与外部的连接。

Trend Micro研究人员表示，“LockerGoga在加密之后以及注销当前帐户之前运行此程序。这是一个值得注意的特征。LockerGoga通过更改帐户的密码将用户排除在系统之外，因此其文件勒索反而显得不那么重要。“

根据Unit 42的威胁情报副总裁Ryan Olson告诉Threatpost的信息，LockerGoga使用未记录的Windows API调用进行通信，其中涉及WS2_32.dll，一个在Microsoft Windows中提供对网络连接支持的dll文件。这意味着开发者对Microsoft Windows很熟悉，足以了解如何使用这些未记录的API，开发人员可能正在构建一个大型的控制网络，单纯的勒索软件中很少使用复杂的网络功能。

思科威胁情报组织Talos的研究人员Liska表示，与其他复杂的勒索软件不同，勒索通知中没有支付赎金的说明，没有比特币或Monero钱包地址，但含有两个电子邮件地址来联系攻击者。这些功能引发了更多关于黑客意图的猜测，因为勒索软件通常是最不先进的恶意软件形式之一，它们是否受到经济利益或其他因素的驱使？动机是否随着时间而改变？为什么他们提供一个电子邮件地址而不是通过更常用的加密货币来要求支付？

Liska告诉Threatpost，目前还没有找到攻击的原因，还没有人将这次攻击归咎于谁，他们的目标貌似不是赎金，像是在破坏国家安全，但目前没有证据表明这一点。

>>委内瑞拉全国性停电事件

据法新社报道，3月7日下午4点50分，委内瑞拉首都加拉加斯在夜幕降临之前陷入停电状态。全市数千房屋停电停水，地铁停止运行，电话服务和网络接入服务无法使用。令人惊恐的是，相似的情况同样发生在了委内瑞拉的其他城市，总统马杜罗表示，这是拉丁美洲国家史上最严重的一场停电。

除了停水和各大公共设施及服务停止使用之外，委内瑞拉还关闭了学校、办公室和商店，而更多的恐慌和混乱则发生在医院里。据法新社报道援引一位病患家属称，停电发生后，加拉加斯市中心JM de Rios儿童医院的备用发电机未能启动。马杜罗周六透露，有超过50%的医院未能启动备用发电机。

当地时间3月7日，委内瑞拉全国电力供应公司Corpoelec报告称，由于该国最大的电力设施——古里水电大坝遭到“破坏”，委内瑞拉21个或23个州的停电情况。随后，委内瑞拉进入全国抢修电力设施的状态。

委内瑞拉总统马杜罗在3月9日说，今天，我们已经恢复了该国70%的领土供电，但就在中午，敌对势力又对我们其中一个电力设施发动了网络攻击。在此之前，该设施运行良好。由于这个原因，我们本来在9日下午三点左右应该取得的所有进展都被中断了。马杜罗指责美国对委内瑞拉发动了一场电力能源战争。

电力完整恢复几乎花了一个星期的时间。

图表 9 委内瑞拉停电场景

根据俄罗斯卫星通讯社3月26号消息，委内瑞拉新闻和通信部长豪尔赫罗德里格斯表示，该国电力系统再次遭到袭击。

>>美国Hexion和Momentive公司遭勒索软件攻击

3月12日，Hexion和Momentive公司于遭到勒索软件的袭击，根据Momentive一位匿名员工的说法，该攻击是在3月12日开始的，由于此次攻击，大量关键数据都从系统中丢失，公司的Windows计算机出现了蓝屏错误并且文件被加密。

Hexion和Momentive公司主要生产树脂、有机硅和其他材料，由同一投资基金控制。

Momentive CEO发出的电子邮件中提到了由恶意软件引起的“全球IT中断”。根据电子邮件，该公司必须订购数百台新计算机来替换受感染的计算机。

Hexion发布了一份新闻稿，称此攻击为网络安全事件，阻止了公司网络中某些系统和数据的访问。

根据Motherboard报道，该勒索软件与之前对挪威海德鲁公司的攻击有许多相似之处，因此研究人员也将此次攻击归因于LockerGoga勒索软件。

2019年4月

>>日本丰田汽车公司遭黑客入侵

北京时间4月1日晚间消息，据美国科技媒体ZDNet报道，丰田汽车今日公布了第二起数据泄露事件，这也是该公司在过去五周内承认的第二起网络安全事件。

丰田汽车表示，黑客入侵了其IT系统，并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji（雷克萨斯Nerima）和丰田西东京卡罗拉。

公司表示，黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称，目前正在调查此事，以确定黑客是否泄露了他们可以访问的任何数据。

丰田汽车强调，客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据，丰田汽车并未披露。

丰田汽车发言人今日向媒体表示：“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题，并将在经销商和整个丰田集团中彻底实施信息安全措施。”

图表 10 日本丰田越南分公司遭受入侵攻击

>>德国化工制药企业拜耳公司遭黑客入侵

4月初，据德国电视一台的"每日新闻"（tagesschau.de）报道，拜耳公司（Bayer AG）向外证实，有黑客入侵了该公司的网络系统。拜耳称，公司的网络安全中心在2018年初发现了一种名为"Winnti"的窃密病毒，并开始针对其实施防御措施，但无法溯源获知黑客最早何时进入系统。德国媒体报道，此次出击的是一个目标明确、十分专业的黑客小组。

德国网络安全组织(DCSO)的技术负责人罗尔（Andreas Rohr）对德广联表示，一旦确认公司网络系统受到Winnti恶意程序入侵，就清楚地表明，该企业已成为有针对性的网络攻击的目标。DCSO是包括拜耳在内的多家德国大型企业于2015年共同成立的，任务之一是调查网络经济间谍活动。罗尔补充说，Winnti小组的发展速度很快。

据拜耳称，Winnti小组的黑客以企业内网（Intranet）与互联网（Internet）的接点以及授权系统作为入侵点，作案方式非常专业。但拜耳称，目前没有迹象表明已发生了数据失窃。

在最早发现该恶意软件时，该公司没有马上删除它，而是选择对软件进行秘密监视，以尝试确定其目的以及负责植入恶意代码的人员。

到2019年3月底，该恶意软件被彻底删除，公司的网络系统已经得到清理彻查，根据拜耳掌握的情况，入侵者尚未采取积极行动，盗取数据信息。

>>美国自来水公司Odintsovsky Vodokanal遭勒索软件攻击

4月15日，美国自来水公司Odintsovsky Vodokanal被勒索软件攻击。该恶意软件对受感染设备和网络共享上的数据都进行了加密，危及到公司的技术文档，客户数据以及帐单系统。

攻击者的目标是让公司付费以恢复其数据，但奥丁佐夫斯基沃多卡纳尔拒绝支付赎金，并向卡巴斯基寻求帮助。在分析了加密的数据样本和恶意软件本身之后，卡巴斯基专家找到了一种方法来恢复所有信息，并在几个小时内将解密软件发送给了受害公司。

攻击者通过Windows操作系统中内置的标准“远程桌面协议”服务渗透到组织内的网络。攻击者能够远程破解该帐户的密码，并在系统上获得授权。接下来，他们以手动模式在受感染计算机上执行了恶意软件，然后恶意软件开始对文件进行加密。

根据卡巴斯基的数据分析，这种加密恶意软件的大多数受害者位于俄罗斯。

>>欧洲重型汽车制造企业Aebi Sschmidt遭勒索软件攻击

4月25日，总部位于瑞士的专用汽车制造商Aebi Schmidt向客户和业务合作伙伴通报说，由于网络攻击，其部分业务可能会中断。

Aebi Sschmidt是欧洲最大的制造企业之一，主要业务是为建造机场和制造公路养护车辆。据知情人士称，公司在网络安全事件发生后中断了运营。该公司整个国际网络的系统都崩溃了，其中受到破坏最严重的是瑞士总部。此外，公司的电子邮件服务器也受到了严重影响。

事件曝光几天后，该公司一名发言人通过社交媒体发布了一条消息，称“部分系统因安全事故而中断”，主要问题是服务器企业邮件发生故障。消息还证实了其他系统受到了一些损害。但发言人没有阐述细节，只称专家正在努力恢复公司网络环境，这可能需要较长的时间。

尽管该公司尚未公开承认遭遇勒索软件攻击，但该公司一些员工已证实了这一点。此外，知情人士还提到，该公司的许多系统仍然无法运行。此次攻击的相关细节仍未公布，该网络攻击事件将对Aebi Sschmidt造成多少财务损失仍不得而知。

2019年6月

>>美国飞机零部件供应商ASCO遭勒索软件攻击

6月7日，勒索软件最先袭击了ASCO比利时公司的Zaventem工厂，由于被勒索软件感染导致IT系统瘫痪、工厂无法运营，该公司目前已有1000名工人休假。另外，ASCO也关闭了德国、加拿大和美国的工厂，位于法国和巴西的非生产办事处未受影响。

ASCO隶属于世界500强之一的美国艾默生集团，是世界上最重要的飞机零部件设计供应商之一。该公司的一些客户包括航空运输和军事领域的大腕，如空中客车公司，波音公司，庞巴迪公司和洛克希德马丁公司。ASCO制造的零件用于F-35战斗机，空中客车A400M军用飞机，空中客车和波音商用客机以及阿丽亚娜太空发射火箭等。

目前还不清楚ASCO是否已支付赎金以恢复其系统的访问权限，从备份中恢复，或从头开始购买新系统和重建其计算机网络。

>>德国宝马公司被黑客组织渗透事件

据外媒报道，有着国家级背景的黑客组织渗透进入宝马公司的计算机网络。针对宝马汽车公司的攻击始于2019年春，6月份时，宝马公司将有关计算机进行了脱网，并正式对外公布。

在近期的一次采访中，宝马公司相关负责人表示：

“我们已经对结构和流程进行了进一步防范，可以最大程度减少未经授权的外部人士访问我们系统的风险，同时，在发生某些事件时，我们能快速进行检测、重建和恢复。”

宝马公司在发现入侵行为时，并没有立刻采取强硬措施，而是决定嵌入其植入系统的一个名为“ Cobalt Strike”的工具，这个工具可以方便地实现远程投屏和控制计算机。

宝马公司发现，该黑客组织应是从BR Recherche攻击了计算机。其活跃的目的可能是收集更多信息，例如各地汽车销量的报告。

据专家分析，攻击者所使用的工具及其行为均指向越南APT组织“海莲花”（Ocean Lotus）。继关键基础设施之后，汽车工业也成为国家级APT组织的重点攻击目标。

作为“海莲花”此次行为的一部分，韩国汽车制造商现代汽车的网络也遭到了攻击。目前没有有关此特定事件的详细信息，现代公司也拒绝提供任何评论。

图表 11 安全专家的分析

>>美国被披露长期监控俄罗斯电力系统

6月15日，《纽约时报》援引美国现任和前任政府官员的话称，美国正在加大对俄罗斯电网的网络攻击，“至少从2012年开始，美国已将侦查探测器置入俄罗斯电网的控制系统。” 

图表 12 纽约时报报道截图

《纽约时报》称，美国此前从未尝试在俄罗斯电网内部植入恶意程序。此次攻击可视为一次警告，也在告诉世人，如果美俄之间产生严重冲突，那么美方将会采取网络攻击。

报道称，两名白宫高官表示，美国总统特朗普本人尚未收到此次行动的任何细节汇报。五角大楼和美国情报部门官员称，他们非常犹豫是否要将对俄采取行动的细节告诉特朗普，因为他们担心特朗普的反应，他可能会推翻行动，或转而与外交人员商议此事。

过去三个月内，《纽约时报》采访了一批白宫现任和前任高官，他们纷纷表示美国将计算机代码植入俄罗斯电网和其他目标可以视作美国对俄采取更具攻击性的战略。

据报道，美国国会去年通过军事授权法案，此次侵入俄罗斯电网似乎正是在新的法律程序下开展的。根据新法，美国防长可以在没有总统特别批准的前提下授权开展网络空间“秘密军事行动”。目前，特朗普政府不愿评论此次行动是否属于新法规定范畴。不过美国官员表示，美军侦查俄罗斯电网至少可以追溯到2012年。

美国国家安全委员会官员拒绝评论此事。

>>阿根廷大规模停电事件

6月16日早7点左右，阿根廷发生大规模停电，首都布宜诺斯艾利斯的交通信号灯停止运作，地铁、城际铁路、公交车等公共交通全部停运，邻国乌拉圭、巴西、智利和巴拉圭部分地区的电力也中断。

阿根廷能源部长洛佩特吉在推特上说：“沿海输电系统早上发生故障并导致全国停电。目前我们无法确定到底出了什么问题。这是史无前例的事件，我们一定会彻查到底。”他表示，“虽然网络攻击不是主要假设，但不能排除这个可能性。”

16日晚，阿根廷能源部的声明称：“根据截止20时15分的数据，已恢复总需求量的98%。”从事该国电力分配的两家公司Edesur和Edenor也发布消息称，已恢复了为全部用户提供服务。此外，乌拉圭国家电力公司发布消息称，“已恢复早上发生故障期间中断的98.5%服务。不过，恢复工作将持续至凌晨。“

能源部长Lopetegui表示对事件原因“不敢提出任何假设”，因为他尚未掌握所有必要信息。Lopetegui表示，这个“非同寻常”的事故本不该发生，“从简单故障发生的那一刻起，到整个国家的电网在没有人为干预的情况下完全断电，只有不到一秒钟的时间，而本该隔离的故障部分却没有自动切断。这在阿根廷历史上从未发生过。现在的问题是要搞明白为什么一个明明有能力实现部分隔离的系统会出现失灵？”

事故原因有待查明，阿根廷政府表示对周日停电造成的经济损失目前仍无法估计。

2019年7月

>>美国纽约停电事件

当地时间7月13日晚，纽约曼哈顿发生大规模停电，包括中心地带的时代广场、地铁站、电影院、百货公司等均陷入一片漆黑。据悉，此次停电造成大约4.2万名居民断电，还有多人被困电梯。停电发生在晚上7点前，当时气温大约30摄氏度。纽约市长白思豪在推特上表示，纽约应急管理办公室正在同纽约市警察局及纽约市消防局等方面通力合作，应对此次停电事故。7月13日下午6点45分左右一直到午夜前，从纽约时报广场到百老汇的近40个街区里，千万人受到停电影响。

图表 13 纽约曼哈顿停电场景

据美国福克斯新闻报道，美国最大的私人能源公司之一，联合爱迪生在7月14日发表声明称，此次大规模停电与一次“重大电力传输”有关。

联合爱迪生公司总裁蒂姆·考利（Tim Cawley）表示，停电与该公司电网的需求量无关，并补充称，随着气温升高，该公司已做好准备应对夏季用电高峰。

联合爱迪生公司称将尽力调查此事，以确定事故根本原因所在。该公司发布的新闻稿内表示，“在接下来的几天或几周内，我们的工程师和相关人员将仔细检查与此次事件有关的设备，并进行相应的数据分析，成果将会与公众分享。”

当地时间7月15日，纽约爱迪生联合公司官方回复：13日晚的纽约市的大面积停电是变电站继电保护系统失灵引起的。

巧合的是，美国媒体报道说，7月13日正好是纽约1977年大停电42周年纪念日。

另外有美方报导称：伊朗革命卫队信息战部队成功的突破了美国信息战部队的围堵，闯入了纽约市三十多个变电站的控制中心，并对控制中心进行信息站破坏，导致了纽约全城大约4个小时的停电。

美国军方也有人士透露，革命卫队的信息战部队设法渗透，甚至可以远程操控美国的变电站控制系统。在大规模停电发生前，其中一个变电站控制中心的操作人员发现显示器上的光标出现了抖动现象，而当时他并没有操纵鼠标，当他试图控制光标时已经晚了，鼠标已经不受控，随即点击了总开关，自己拉黑电网。

美军信息站专家Robert Lee表示：“这是一次蓄谋已久并深思熟虑的高手作案。首先，伊朗的“网络军团”们将引导病毒引入美国变电站的计算机内。为此，他们将病毒软件隐藏在电子邮件中，只要美国电站操作员打开时就会自动启动。“

>>乌克兰某核电站发现了挖矿设备

7月10日，在南乌克兰核电厂SE NAE Energoatom的中央控制面板行政大楼104号办公室被进行了授权搜查，发现并没收了计算机设备和部件。被没收的设备包括六台Radeon RX 470 GPU视频卡，一块主板，电源和延长线，一台USB和硬盘，以及安装在发电厂的冷却装置。

同一天，在该核电厂的另一个地方的突击检查中发现了更多的数字货币采矿设备。该单位没收了16个视频卡，一个系统单元，其中包括军用单元的库存号，七个硬盘，两个固态硬盘，一个USB闪存盘和一个路由器。

这些计算机设备并未在核电厂网络内获得授权，组成了一个可以访问互联网的单独的局域网，并用于接收加密货币。此外，SBU员工在SUE NPP的其他场所发现并没收了CTC联合媒体转换器，光纤和网络电缆，理论上这些电缆都不应该出现在这些场所内。

该电厂由国有企业Energoatom运营，注册为国家机密，这意味着其场地内不允许使用外部计算设备。与互联网进行外联挖矿，可能导致破坏了核设施的安全，并最终泄露核电站物理保护系统的机密信息。

2019年8月21日，乌克兰安全局(SBU)因此事发起逮捕行动，此次事故被列为国家机密泄露事故。据当地媒体报道，由于有人怀疑安全发电厂数据泄漏，当局已启动刑事诉讼程序。

>>委内瑞拉再次大范围停电事件

当地时间7月22日，委内瑞拉又一次遭遇大范围停电，据路透社报道，委内瑞拉的23个州中有一半以上受到了停电影响。

停电发生约1小时后，委新闻和通信部长罗德里格斯在委内瑞拉国家电视台发表讲话时表示，初步调查结果显示，造成本次大规模停电的原因是委供电系统中最主要的古里水电站遭到电磁攻击。委内瑞拉电力供应逾6成来自水力发电，而绝大多数电量由古里水电站提供。

图表 14 委内瑞拉停电区域

>>南非电力公司City Power遭勒索软件攻击

7月25号，南非约翰内斯堡City Power 电力公司遭勒索软件攻击，导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。

该公司数据库、网络、应用程序等，遭勒索软件加密而无法运作。这也导致客户无法透过网站买电、卖电、上传发票及存取公司网站。虽然电厂紧急调派人力，但雪上加霜的是，电厂的派工维修系统也无法运作，让停电修复的作业受到影响，造成用户抱怨电厂没有备援机组，而不能在这段期间取代供电，断电时间长达12小时。

图表 15 CityPowerJhb官方Twitter账号公布的信息

2019年8月

>>我国部分医疗电力系统遭勒索软件攻击

腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播，监测数据表明，已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现，该病毒的破坏仅在部分有限的情况可解密恢复，但在病毒按预期运行，基础设施完善情况下，暂无法解密。

Ouroboros勒索病毒首次出现于2019年8月中旬，目前发现其主要通过垃圾邮件渠道传播，由于其PDB路径中包含Ouroboros故因此得名，该病毒加密文件后会添加 .Lazarus扩展后缀。

2019年9月

>>印度核电公司遭受朝鲜黑客攻击

新闻社IANS  9月初的报道称，Kudankulam核电站的两个反应堆之一已中止运行，恶意软件Dtrack的变体感染了核电站的管理网络，可能包括窃取设施的键盘记录、检索浏览器历史记录，以及列出正在运行的进程等，并不确定是否应能想到用于控制核反应堆的关键内网。

该核电站主要由俄罗斯设计和提供反应堆机组，为印度南部电网提供电力。这座核电厂已成为印俄最大的合作项目之一。

图表 16 印度库丹库拉姆核电站

Pukhraj Singh是一名印度的威胁情报分析师。据他透露，9月4日以前，第三方机构发现针对印度核电厂的网络攻击活动，并告知了他，于9月4日通报了英国NCSC机构，并在9月7日对外提起了此事件

图表 17 Pukhraj Singh披露印度核电站事故

10月28日，某Twitter用户披露了一个名为DTrack的病毒样本，并且指出其内嵌了疑似与印度核电厂相关的用户名KKNPP，随后引发热议。

10月29日，各大新闻媒体公开披露该事件，并且印度安全人员对历史情况进行一些解释和说明，并且披露攻击者已经获取核电厂内部域控级别的访问权限。

最初，核电站方面否认他们遭受了任何恶意软件感染，发表声明将这些推文描述为“虚假信息”。

10月30日，这一被官方称之为“虚假消息”的事件却被自己推翻。他们在另一份声明中承认核电站确实感染了黑客组织创建的恶意软件，该软件由黑客组织Lazarus Group开发，属于Dtrack后门木马的变体。

但是，核电站方面也强调，朝鲜恶意软件仅感染了其管理网络，但未到达其关键的内部网络，这些内部网络用于控制发电厂的核反应堆。言外之意，朝鲜攻击并非造成核反应堆“停工”的原因。

韩国Issue Makers Lab的研究人员说，攻击者为来自朝鲜的Kimsuky组织，并透露称，攻击印度核能部门的一名黑客正在使用仅在朝鲜生产和使用的朝鲜自有品牌的计算机。一名黑客使用的IP来自朝鲜的平壤。而朝鲜黑客知道印度工厂的IP网络。他们渗透到了工厂内部，但没有发送破坏性代码。

Issue Maker Lab发现，黑客使用的计算机是在朝鲜生产且仅在朝鲜使用的型号。这帮助他们获得了机器的MAC地址以及IP地址的详细信息。两者都带有朝鲜签名。他们的调查还发现，恶意软件代码中使用了朝鲜语。

美国《原子科学家公报》日前报道，虽然库丹库拉姆核电站反应堆运行没有受到影响，但这一事件再次发出警告，人类社会两个最大的安全风险，即网络攻击与核威慑，正在发生危险的“碰撞”，其严重后果，完全可能演变为无法控制的人祸。

>>英国大范围停电事件

路透社报道，9月9日晚高峰，英国遭遇大范围停电，地铁停运、机场瘫痪、交通信号灯熄灭，一些医院甚至备用发电机熄火。按照英国交通警察的说法，这次停电及其造成的影响“史无前例”。

英国英格兰、威尔士等地区遭遇停电，首都伦敦多个区域未能幸免。虽然停电时长最多1个小时，但是停电造成的“混乱状况”预期会持续一整天。

停电恰逢周五晚，英国媒体说“这是一周中最繁忙的时段之一”，大量民众刚刚结束一周的工作，搭乘地铁、城际列车或飞机回家度周末。

英国这次停电规模较大，暂不清楚总共多少民众受影响。西部电力公司估算，这家电企的大约50万名用户受停电影响。北部电力公司说，这家电企的大约11万名用户遭遇停电，东北部城市纽卡斯尔的机场和地铁运行受影响。

英国国家电力公司披露，当天停电与两台发电机出现故障相关，故障已经排除。

>>伊朗石油和金融设施遭受大范围攻击

当地时间9月22日晚，伊朗遭遇了一次大规模袭击，整个伊朗的网络系统遭遇了不明来源的大规模攻击，其中重点攻击目标在于伊朗的石油和金融设施，对此毫无准备的伊朗，受到了惨重损失。在短时间之内，其金融和石油设施迅速瘫痪，一切正常交易都无法进行下去。好在德黑兰方面及时向俄罗斯请求援助，俄罗斯派遣了大量网络战专家远程指挥伊朗网络安全部门反击，才度过了这一劫。

根据伊朗高层不愿透露姓名的官员表示，目前俄罗斯已经确定攻击来源正是美国中央情报局。中情局希望用这种手段，让伊朗暴露出自己的弱点，最终达到使得伊朗方面屈膝投降的目的。

近日沙特油田被炸，美国指责伊朗在背后捣鬼，扬言伊朗要为其负责。就沙特油田事件，美伊关系再度恶化，所以美国在幕后支持这次网络攻击行动的可能性极大。

>>德国汽车零部件制造商境外工厂遭恶意软件攻击

9月25号，总部位于德国的汽车零部件和国防解决方案提供商Rheinmetall宣布，由于受到恶意软件攻击，其在美国，巴西和墨西哥的汽车工厂的生产受到了干扰。

该攻击于9月24日晚上开始，攻击涉及一个未知的恶意软件。该公司表示，该事件导致该恶意软件进入IT系统的工厂受到“重大破坏”。

该公司认为，从攻击中恢复需要花费两到四周的时间，并且估计从第二次攻击开始，该事件将导致每周损失300万欧元（330万美元）至400万欧元（440万美元）。该公司已向客户保证，它将能够在短期内交付订单。

攻击主要针对美洲（美国，墨西哥，巴西）的系统，而仅针对汽车系统。该地区以外和国防领域的其他系统目前都没有受到影响。

2019年10月

>>伊朗阿巴丹炼油厂起火

10月20日，国际知名刊物作者，英国广播公司（BBC）通讯员Babak Taghvaee在Twitter上附带视频发布伊朗阿巴丹炼油厂起火消息，并称火灾是由确认的网络攻击所为。

阿巴丹（Abadan）炼油厂建于1912年，是伊朗同类炼油厂中的最大的一家，也曾经是世界上最大的炼油厂，并且目前和中方企业存在合作关系。

图表 18 Babak Taghvaee发布的消息和视频

很巧的是，就在前几日的10月16日，路透社援引美国两名官员话称“美在对伊朗发起秘密网络攻击行动，以还击9月14日沙特石油被袭之恨”。

图表 19 路透社发布的美国官员对伊朗发起网络攻击的报道

16日的国防会议上，美国军方向特朗普列出多项打击伊朗的选项，包含攻击位于伊朗阿巴丹的全球最大炼油厂之一，又或位于哈尔克岛的伊朗最大石油出口设施，可重创伊朗的石油生产及出口能力。

一向忠实支持特朗普政策的共和党参议员格雷厄姆，形容袭击沙特石油设施属“战争行动”，美国需果断回应，包含考虑攻击伊朗炼油厂。然而，多名共和党参议员包含参院外交委员会主席里施，则敦促政府避免仓促决定。可见，伊朗阿巴丹此前就被列为攻击目标。

2019年11月

>>墨西哥国有石油公司Pemex遭勒索软件攻击

11月10日，墨西哥国有石油公司Pemex遭受到勒索软件攻击，被索要565 个比特币，约490万美元的赎金。不过Pemex表示，只有不到5%的电脑受到了影响。不过根据内部备忘录的说法，要求所有员工切勿打开电脑，在本周晚些时候再重新开机，但拒绝按攻击者的要求在48小时内支付赎金。

在随后的推特声明中，Pemex表示他们的运作一切正常，燃料生产、供应和库存没有受到影响。

最初有报道称，Pemex受到了Ryuk勒索软件的影响，但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件，属于BitPaymer勒索软件的变种。

在安全研究人员Pollo分享的赎金信息截图中，我们可以清楚地识别出DoppelPaymer，这也和BitPaymer的赎金信息非常相似。

图表 20 Pemex收到的勒索信截图

2019年12月

>>英国核电站遭受攻击

12月2号，电讯报和都市晨报报道，一份周末披露的报告称英国一家核电厂遭到了网络攻击，目前仍然没有恢复正常运营。

图表 21 英国核电厂遭网络攻击

事件原委由telegraph公司提供，该媒体称：GCHQ的子公司国家网络安全中心（NCSC）一直在秘密地向英国一家核电公司提供援助，因为该公司在遭受网络攻击后一直难以恢复。

核退役局（NDA）使用信息自由法获得的一份报告提到，核电公司的相关工作人员意识到核发电厂的一项重要业务已受到网络攻击，造成负面影响，目前必须依靠NCSC的专业知识来应对，帮助业务恢复。该文件来自2019年3月13日的董事会委员会会议，这是首次成功证明对英国一家核公司进行网络攻击的证据。

目前尚不清楚网络攻击造成了什么损害或网络攻击是否使公共安全受到威胁。NCSC拒绝列出参与攻击的公司或提供有关攻击的详细信息。而负责清理旧核电厂和乏燃料的NDA说，提供详细信息是“不适当的”，理由是“该事件与NDA集团以外的组织有关”。

这些披露可能会促使人们猜测英国核电站的安全漏洞，无法提供详细信息引起了人们对英国核电部门透明度和安全性的担忧。独立核研究顾问戴维·洛瑞（David Lowry）表示，该部门将对透露的细节保持谨慎。他说，他们非常清楚，他们只需要发生一次安全事件，就会破坏整个系统的安全声誉。……仅出于声誉原因，他们承受不了失误的负担。因此不会过多披露细节。但从描述来看，此次网络攻击很有可能已经获取到极高的系统权限，否则仅靠隔离受害主机从而批量重装系统的方式即可进行业务恢复。

其中，原文称关于攻击目标的猜测可能集中在法国电力公司（EDF）上，法国电力公司在英国主导着核能发电。而该公司却拒绝在本周末就此事发表评论。

>>美国RavnAir航空公司遭受网络攻击

12月22日，据报道，黑客发起了一次针对Ravn Air航空公司的网络攻击，最终导致飞机维修等关键系统关闭，迫使Ravn Air航空公司取消了至少6个阿拉斯加的航班，影响了约260名乘客。

该航空公司在一份书面声明中表示，因为网络攻击迫使其断开了Dash 8的维护系统和备份，因此公司在中午之前取消了所有涉及Dash 8飞机的航班。该航空公司为阿拉斯加的100多个社区提供服务，其中许多社区无法通过公路到达。目前，Ravn Air航空公司正在与美国联邦调查局和网络安全专家合作，以恢复系统并调查网络攻击。

23号，公司对外宣布：我们将尽快在Dash-8航班上按照正常的时间表运行，我们将尝试在接下来的两天内增加航班数量，尽可能在其他航班上重新为受影响乘客安排座位。

>>中东遭伊朗恶意软件ZeroCleare攻击

12月20号，IBM的X-Force事件响应和情报服务（IRIS）发布报告，披露了一种全新的破坏性数据清除恶意软件 ZeroCleare，该恶意软件以最大限度删除感染设备数据为目标。

IBM虽没有透露此次遭受攻击的具体公司，但可以确认ZeroCleare瞄准的是中东的能源和工业部门，初步估算已有1400台设备遭感染。ZeroCleare用来执行破坏性攻击，主要是擦除主引导记录（MBR），并损坏大量网络设备上的磁盘分区，说白了就是大肆删数据。

IBM报告也证实，ZeroCleare和破坏性恶意软件Shamoon同宗，都是出自伊朗资助的顶级黑客组织之手。不同的是，Shamoon 来自APT33组织，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）组织协作开发。

 图表22 IBM发布的ZeroCleare恶意软件报告截图

伊朗黑客组织APT34（Oilrig）至少从2014年起就瞄准中东和国际受害者，目标也多集中在金融、政府、能源、化工和电信等关乎国家安全的重要领域。可以说，APT34的整体攻击动向，与伊朗国家利益和作战时间安排保持高度一致。

通过各种网络手段，帮助政府达成政治、经济、军事目的，是APT34一类国家级黑客组织行动的核心。今年早期，APT34（Oilrig）就曾伪装成剑桥大学相关人员，使用LinkedIn传送恶意文件，进行网络钓鱼攻击，预谋窃取重要信息。

从披露的攻击进程来看，执行ZeroCleare恶意程序前，黑客会先通过暴力攻击，访问安全性较弱的公司网络帐户，而当拿到公司服务器帐户的访问权限后，就会利用SharePoint漏洞安装China Chopper、Tunna一类的Web Shell工具。

随后，攻击者便会在入侵设备商，开启横向扩散模式，部署ZeroCleare数据摧毁恶意软件，上演破坏性的数据擦除攻击。至于攻击细节上，一个叫EldoS RawDisk的合法工具包无形中成了ZeroCleare的推手。

EldoS RawDisk是一个主要用于与文件、磁盘和分区进行交互的合法工具包。为了顺利运行ZeroCleare，攻击者会先通过名为soy.exe的中间文件，加载易受攻击签名驱动程序VBoxDrv，强制（DSE）接受并运行驱动程序。

成功拿到权限后，ZeroCleare就会通过滥用合法工具包EldoS RawDisk的方式，擦除MBR并损坏大量网络设备上的磁盘分区，达到破坏性攻击的目的。

值得一提的是，为了获得设备核心的访问权限，ZeroCleare还会使用易受攻击的驱动程序和恶意的PowerShell / Batch脚本，绕过Windows控件。

>>韩国数百家工业企业文件被窃取

12月18号，美国物联网及工控系统安全公司CyberX威胁情报小组公布了一项针对韩国工业企业的高级持续性间谍活动。据介绍，攻击者会使用带有恶意附件的鱼叉式网络钓鱼电子邮件，伪装成PDF文件发动攻击。成功入侵后，攻击者会从浏览器和电子邮件客户端中窃取登录数据，还会搜寻各种类型的文档和图像。

值得注意是，一旦有关工业设备设计的专有信息、商业秘密、知识产权被窃取，轻则攻击者会对攻击目标进行网络侦察，发动勒索攻击，或者将这些信息出售给竞争对手和寻求提高其竞争地位的国家；重则攻击者可以凭借对IoT / ICS网络的远程RDP访问权限，对该国重要且具有军事意义的工厂布局了如指掌，并可在某关键时刻，直接对该国的工业企业和关键基础设施进行破坏性打击。

另外，危机比我们想象的还要快。据统计，已有数百家韩国工业企业受到影响。其中，最大受害者为一家关键基础设施设备的制造商，它专为化工厂，输电、配电设施或可再生能源行业的公司提供产品。此外，钢铁制造商、化工厂建设公司、管道制造商、阀门制造商、工程公司等相关企业也确认受到影响。

更糟糕的是，攻击活动已波及全球。数据显示，泰国、中国、日本、印度尼西亚、土耳其、厄瓜多尔、德国、英国等多国工业系统也不同程度受到影响。

该APT组织使用Separ恶意软件新版本窃取敏感数据和文件，包括工程布局、有关工业设备设计的专有信息等。截至目前，已影响了至少200个系统，受害者约60％的企业为韩国工业企业。此外，泰国、中国、日本、印度尼西亚、土耳其、厄瓜多尔、德国、英国等多国工业企业也不同程度受到影响。

图表 23 Separ恶意软件影响范围

总结和展望

整理完2019年的工控相关安全事件，心情颇为复杂。工控行业安全事故一旦发生，带来的影响不可估量，不仅有巨大的经济损失，也带来巨大的社会影响，直接影响到成千上万人的日常生活。

总结2019年全球工控安全事件，可以得出下面几个结论：

1、黑客组织的重点攻击目标是制造行业和能源行业，个人黑客较少针对工控行业发起攻击。

2、制造行业，主要遭遇勒索软件和信息窃取攻击。勒索软件导致生产线停工对工厂带来巨大的经济压力，恶意分子要求他们迅速付款以恢复运营，而且，停机、清理、合同支付和股价下跌之间的成本可能是巨大而无法估量的。另外制造行业的机密数据也具有极其重要的商业价值，是有组织的黑客的重点目标。一些重要的大型制造厂商也可能遭遇国家级黑客组织的攻击，这些攻击不以勒索为目的，而是为了破坏生产，造成严重的经济损失。

3、能源行业（包括电力、石油等），主要遭遇破坏性攻击。能源行业是社会正常运行的基础，没有电、没有石油，现代社会无法正常运行。从早些年的“震网”事件，到今年这些核电站、水电等电力系统和炼油厂的安全事件，充分表明针对能源行业的攻击事件正越来越多。

4、黑客组织的国家背景凸显。低廉的攻击代价和高危的攻击结果，让破坏性攻击逐渐泛化，越来越多拥有国家支持背景的黑客，开始利用破坏性攻击紧盯能源、制造、金融等关键性重要领域。

总体来看，工控安全行业还有很长的路要走，还有很大的市场要开拓，相应也有很大的压力要承担，可谓是“任重而道远”。针对工控行业的网络攻击和窃密，可以用很小的投入，换来极大的破坏力或收益，正被越来越多的黑客组织所重视，类似的安全事件今后还会越来越多。“没有网络安全就没有国家安全”，工控安全更是直接关系到国际民生，关系到国家安全，责任重大。越来越多国家背景的黑客组织出现，网络攻击和窃密已经逐渐成为某些国家和黑客组织的日常活动，这都为网络安全防护带来极大的困难。除了传统的安全防护手段，工控安全防护工作必须转变思路，以黑客的角度来思考问题，做安全防护。

我国各级网信部门、工厂企业、能源部门和金融部门等都应以习总书记关于网络强国的重要思想为指导，树立正确的网络安全观，全面贯彻落实总体国家安全观，强化关键信息基础设施防护，加强网络安全信息统筹机制、手段、平台建设，不断创新网络安全人才培养使用机制，深入开展网络安全知识技能普及工作，全方位筑牢国家网络安全屏障、推进网络强国建设。