您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
近年全球石油天然氣行業(yè)網(wǎng)絡(luò)安全事件匯總分析
原創(chuàng)作者 | 何躍鷹,孫中豪
石油天然氣行業(yè)作為重要的關(guān)鍵基礎(chǔ)設(shè)施行業(yè),關(guān)系國計民生命脈,但也正面臨著越來越多的網(wǎng)絡(luò)安全風險。本文盡可能完整地搜集整理了近年來發(fā)生在石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件,通過時間順序、地域分布、被攻擊系統(tǒng)和攻擊手段等方式分類,一方面是期望能一定程度的提升行業(yè)參與者的網(wǎng)絡(luò)安全意識,另一方面是期望以編年體的方式呈現(xiàn)行業(yè)網(wǎng)絡(luò)攻擊的演化規(guī)律。
通過對所搜集的21起石油天然氣行業(yè)網(wǎng)絡(luò)安全事件的分析,至少有以下三點結(jié)論是可以確定的:
一、和平時期面向石油天然氣行業(yè)的網(wǎng)絡(luò)攻擊以勒索軟件為主,但國家對抗狀態(tài)下拒絕服務(wù)攻擊明顯增多。在全部21起攻擊中,勒索軟件占到8起。在俄烏沖突爆發(fā)的2022年,統(tǒng)計到的6起石油行業(yè)網(wǎng)絡(luò)安全事件全部發(fā)生在歐洲;2022年之外的其他年份,在發(fā)生15起針對石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件中,歐洲只占到4起。黑客組織明確聲明因政治軍事因素發(fā)動的網(wǎng)絡(luò)攻擊一共6起,都是拒絕服務(wù)或者數(shù)據(jù)竊取,反而沒有一個是勒索攻擊。
二、被攻擊系統(tǒng)涵蓋行業(yè)上下游各個環(huán)節(jié),但以直接面向用戶的系統(tǒng)居多。在所有的統(tǒng)計中,被攻擊系統(tǒng)包括了網(wǎng)站、加油站、煉油產(chǎn)、石油管道、SIS系統(tǒng)、SCADA、云服務(wù)、辦公系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、油輪、石油港口設(shè)備、數(shù)據(jù)中心、APP等。但是針對加油站、網(wǎng)站、IT服務(wù)等直接面向用戶的系統(tǒng)攻擊占到了67%。
三、一旦網(wǎng)絡(luò)攻擊影響到正常業(yè)務(wù)開展,影響范圍和影響程度將超出企業(yè)控制。例如,2021年5月,美國最大的成品油管道系統(tǒng)科洛尼爾管道(Colonial Pipeline)遭到攻擊,迫使該公司關(guān)閉了5500英里長的管道,美國汽油期貨上漲一度超4%。2023年12月,黑客攻擊導致伊朗全國70%的加油站服務(wù)中斷,這次網(wǎng)絡(luò)攻擊對首都德黑蘭造成了重大影響。
附表:近年來石油天然氣行業(yè)網(wǎng)絡(luò)安全時間匯總
2017年5月,WannaCry 勒索病毒全球大爆發(fā),至少150個國家、30萬名用戶中招,造成損失達80億美元,已經(jīng)影響到金融,能源,醫(yī)療等眾多行業(yè),造成嚴重的危機管理問題。其中包括巴西國有石油公司Petrobras和西班牙天然氣公司。據(jù)報道,這兩家公司關(guān)閉了計算機作為應(yīng)對網(wǎng)絡(luò)攻擊的措施。國內(nèi)也有中石油加油站遭到攻擊,其支付系統(tǒng)被攻擊后顧客被迫通過現(xiàn)金支付。
2017年12月,全球最大的石油公司沙特阿美遭到TRITON病毒攻擊而導致安全儀表系統(tǒng)被迫關(guān)閉。這種名為TRITON(也被稱為trisis或Hatman)的病毒,利用了施耐德電氣的關(guān)鍵安全系統(tǒng)之一Triconex的漏洞,是全球首個面向工控安全儀表系統(tǒng)的病毒,通過與SIS系統(tǒng)的直接通信交互,超越了其他工業(yè)網(wǎng)絡(luò)攻擊。SIS系統(tǒng)是工業(yè)設(shè)施自動化安全防護的最后一道防線,該系統(tǒng)旨在防止設(shè)備故障和爆炸或火災(zāi)等災(zāi)難性事件。Triton可對安全儀表系統(tǒng)邏輯進行重編輯,使安全儀表系統(tǒng)產(chǎn)生意外動作,對正常生產(chǎn)活動造成影響;可使安全儀表系統(tǒng)失效,在發(fā)生安全隱患或安全風險時無法及時實行和啟動安全保護機制,從而對生產(chǎn)活動造成影響;還可以對DCS實施攻擊,并通過安全儀表系統(tǒng)與DCS的聯(lián)合作用,對工業(yè)設(shè)備、生產(chǎn)活動及人員健康造成影響。
2020年1月,烏克蘭能源勘探生產(chǎn)公司 Burisma Holdings遭到定向釣魚攻擊。Burisma Holdings 是一家位于烏克蘭基輔的能源勘探和生產(chǎn)公司。在 2019 年 11 月初開始的定向網(wǎng)絡(luò)釣魚攻擊中,攻擊者通過竊取 Burisma Holdings 及其下屬子公司和合作伙伴公司員工的電子郵件憑證,利用電子郵件賬戶中的數(shù)據(jù)以及操作權(quán)限進行網(wǎng)絡(luò)釣魚活動。為了確保了釣魚活動的成功,攻擊者將使用的木馬偽裝成 Burisma Holdings 常用業(yè)務(wù)相關(guān)應(yīng)用程序,以迷惑 Burisma Holdings 員工。對這場針對 Burisma Holdings 的攻擊活動的戰(zhàn)術(shù)、技術(shù)和過程(TTP)進行分析發(fā)現(xiàn),攻擊者專注于仿冒憑據(jù),主要在 Ititch、NameSilo、namebeach 和 Yandex 注冊惡意域名。
2020年4月,Agent Tesla間諜軟件被用于針對能源行業(yè)的魚叉攻擊。攻擊者利用精心偽造的電子郵件投遞 Agent Tesla 間諜軟件。Agent Tesla 間諜軟件自 2014 年以來不斷改進和更新,可通過公開渠道購買。3 月 31 日,攻擊者以埃及國有石油公司 Enppi 之名發(fā)送電子郵件,郵件中邀請收件方為某真實存在的項目設(shè)備和材料投標,并標明投標截止日期。對了解該項目的石油和天然氣行業(yè)人士而言,極易被引誘打開郵件中用于投遞 Agent Tesla 間諜軟件的惡意附件,該間諜軟件會收集各種類型的憑據(jù)等敏感信息,受害國家包括馬來西亞,伊朗和美國。第二次攻擊發(fā)生在 4 月 12 日,攻擊者以某油輪之名向收件人索要預估港口使用費等信息,該油輪真實存在,受害者大部分為菲律賓的貨運公司。
2020年4月,葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊,攻擊者索要1580比特幣贖金(折合約1090萬美元/990萬歐元)。在這次攻擊過程中,Ragnar Locker勒索軟件的幕后黑手聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件,如果EDP不支付贖金,那么他們將在公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄,攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機密信息。
2020年6月,全球最大的石油和天然氣公司之一雪佛龍公司(Chevron Corporation)遭到Ekans 勒索軟件攻擊,雖然攻擊細節(jié)并未公開,但據(jù)信攻擊者通過利用VPN 軟件中的漏洞獲取了雪佛龍的系統(tǒng)訪問權(quán)限。EKANS是一種用Go編程語言編寫的混淆勒索軟件變體,攻擊目標已經(jīng)覆蓋了能源(巴林石油、ENEL能源)、汽車制造(本田汽車)、醫(yī)療設(shè)備經(jīng)銷等多個工業(yè)行業(yè),打擊工業(yè)控制系統(tǒng)已成為其重要目的。
2021年3月,能源巨頭殼牌公司(Shell)遭遇黑客攻擊,導致數(shù)據(jù)泄露。攻擊者利用安全廠商Accellion的文件傳輸程序FTA的零日漏洞,訪問了一些個人數(shù)據(jù)以及屬于殼牌利益相關(guān)方和子公司的數(shù)據(jù)。殼牌公司使用FTA來“安全地”傳輸大文件。該公司在網(wǎng)站上發(fā)表的一份公開聲明中披露了這起攻擊事件,并表示這起事件只影響了Accellion FTA設(shè)備,該設(shè)備用于安全傳輸大數(shù)據(jù)文件?!坝捎谖募鬏敺?wù)與殼牌數(shù)字基礎(chǔ)設(shè)施的其他部分是隔離的,因此沒有證據(jù)表明殼牌的核心IT系統(tǒng)受到任何影響?!?/span>
2021年4月,美國新英格蘭最大的能源供應(yīng)商-Eversource遭遇數(shù)據(jù)泄露。Eversource擁有超過6,459英里的天然氣管道。此前客戶的個人信息在一個不安全的云服務(wù)器上被曝光。Eversource向客戶發(fā)出警告,一個不安全的云存儲服務(wù)器暴露了他們的姓名、地址、電話號碼、社會安全號碼、服務(wù)地址和帳戶號碼。該問題源自Eversource在3月16日進行的一次安全檢查,他們發(fā)現(xiàn)一個“云數(shù)據(jù)存儲文件夾”配置錯誤,導致任何人都可以訪問其中的內(nèi)容。
2021年5月,美國最大的成品油管道系統(tǒng):科洛尼爾管道(Colonial Pipeline)遭到名為Darkside的黑客組織的勒索攻擊。Darkside入侵科洛尼爾管道運輸公司的網(wǎng)絡(luò)后,獲取了大量數(shù)據(jù),并以此威脅要求440萬美元贖金,迫使該公司關(guān)閉了5500英里長的管道,并且關(guān)閉某些系統(tǒng)以便避免繼續(xù)遭受攻擊。受到成品油管道關(guān)閉的消息影響,國際油價一度波動加劇,美國汽油期貨上漲一度超4%。Colonial Pipeline 公司作為美國最大的燃油/管道商,發(fā)生嚴重網(wǎng)絡(luò)安全事件后,進行了快速的應(yīng)急響應(yīng)處理,通過相應(yīng)措施避免二次損害,但是仍然可以看出該公司的 IT 和 OT 網(wǎng)絡(luò)沒有絕對隔離是導致事件危害規(guī)模巨大的主要因素。
2022年1月,黑客攻擊歐洲港口石油設(shè)施,因遭到勒索軟件的攻擊,位于荷蘭阿姆斯特丹和鹿特丹、比利時安特衛(wèi)普的幾處港口的石油裝卸和轉(zhuǎn)運受阻。截至當?shù)貢r間2月4日,至少有7艘油輪被迫在安特衛(wèi)普港外等候,無法靠港,油價已飆至7年新高。
2022年3月,國際黑客組織“匿名者”(Anonymous)聲稱入侵了俄羅斯能源巨頭——俄羅斯石油公司位于德國的分公司Rosneft Deutschland GmbH,并從中竊取了 20 TB 的數(shù)據(jù),盡管該公司的系統(tǒng)受到了影響,但公司的業(yè)務(wù)或供應(yīng)狀況暫未受到影響。Rosneft Deutschland GmbH在過去三年中負責向德國進口約四分之一的原油。黑客團體表示攻擊的起因源于俄羅斯對烏克蘭的入侵,以及對該公司的運作、德國前總理格哈德·施羅德與普京的關(guān)系感到不滿。
2022年3月,東歐大型加油站服務(wù)商Rompetrol遭到Hive勒索軟件攻擊,影響到了公司大部分IT服務(wù),官網(wǎng)、APP全部下線,顧客只能使用現(xiàn)金和刷卡支付。據(jù)悉,攻擊者還入侵了Petromdia煉油廠的內(nèi)部IT網(wǎng)絡(luò),但運營未受到影響。
2022年4月,俄羅斯國家天然氣公司Gazprom的石油部門Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉。該網(wǎng)站上有一份來自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明,這份聲明中對俄羅斯向烏克蘭派遣數(shù)千名士兵的決定發(fā)表了批評言論,隨后該網(wǎng)站就被迫停止運營。
2022年7月,立陶宛能源公司Ignitis Group遭受了十年來最大的網(wǎng)絡(luò)攻擊,大量分布式拒絕服務(wù)(DDoS)攻擊破壞了其數(shù)字服務(wù)和網(wǎng)站。隨后,親俄羅斯的黑客組織Killnet在其Telegram頻道表示對此次攻擊負責,這也是該組織在立陶宛發(fā)起的一系列攻擊中的最新一次,原因是該國在與俄羅斯的戰(zhàn)爭中支持烏克蘭。
2022年7月,勒索軟件組織ALPHV聲稱對盧森堡天然氣管道和電力網(wǎng)絡(luò)運營商Creos 遭受的網(wǎng)絡(luò)攻擊負責。Creos的母公司Encevo在五個歐盟國家經(jīng)營能源業(yè)務(wù),該公司于7月25日宣布,他們在7月22日至23日遭受了網(wǎng)絡(luò)攻擊。雖然網(wǎng)絡(luò)攻擊導致Encevo和Creos的客戶門戶站點不可用,但所提供的服務(wù)并未中斷。
2023年6月,加拿大石油巨頭被黑影響全國加油站:支付或癱瘓,僅支持現(xiàn)金。加拿大石油公司(Petro-Canada)位于全國各地的加油站受到技術(shù)故障影響,客戶無法使用信用卡或獎勵積分支付油費。故障原因是母公司森科能源遭遇網(wǎng)絡(luò)攻擊。森科能源表示已采取措施應(yīng)對此次攻擊,并通報有關(guān)部門。在事件解決之前,公司與客戶和供應(yīng)商的交易將受到負面影響。
2023年8月,以色列最大煉油廠遭黑客攻擊網(wǎng)站無法訪問。以色列最大的煉油廠運營商BAZAN集團的網(wǎng)站在世界大部分地區(qū)無法訪問,攻擊者聲稱黑掉了該集團的網(wǎng)絡(luò)系統(tǒng)。伊朗黑客宣稱在周末攻擊了BAZAN的網(wǎng)絡(luò),并泄露了BAZAN的SCADA系統(tǒng)的屏幕截圖,這些系統(tǒng)用于監(jiān)控和操作工業(yè)控制系統(tǒng),其中包括“火炬氣回收裝置”、“胺再生”系統(tǒng)、石化“分流器部分”的圖表和PLC代碼。
2023年8月,俄羅斯黑客組織襲擊烏克蘭,致200多家加油站深夜癱瘓。KillNet黑客組織自豪地聲稱對烏克蘭三大加油站網(wǎng)絡(luò)的網(wǎng)站遭受的有針對性的網(wǎng)絡(luò)攻擊負責。據(jù)稱其對200個加油站進行了網(wǎng)絡(luò)攻擊并導致了癱瘓。這些加油站網(wǎng)絡(luò)攻擊再次加劇了俄羅斯和烏克蘭之間持續(xù)的數(shù)字沖突。
2023年11月,勒索軟件組織BlackCat(ALPHV)將臺灣中國石油化學工業(yè)開發(fā)股份有限公司(中石化、CPDC)添加到其Tor泄露網(wǎng)站的受害者名單中。該泄露涉及的數(shù)據(jù)大小為41.9GB。
2023年12月,黑客攻擊導致伊朗全國加油站業(yè)務(wù)中斷。據(jù)路透社報道,網(wǎng)絡(luò)攻擊造成了伊朗全國范圍內(nèi)的加油站業(yè)務(wù)中斷,導致伊朗全國70%的加油站服務(wù)中斷。這次網(wǎng)絡(luò)攻擊對首都德黑蘭造成了重大影響,許多加油站被迫手動操作,親以色列的黑客組織“Predatory Sparrow“(波斯語為Gonjeshke Darande)聲稱對此次攻擊負責。
2024年1月25日,烏克蘭國家石油天然氣公司(Naftogaz)當天發(fā)布消息稱,該公司一個數(shù)據(jù)中心遭受了大規(guī)模網(wǎng)絡(luò)攻擊。公司網(wǎng)站和呼叫中心無法運行。烏克蘭國有石油天然氣股份公司是烏克蘭最大的企業(yè)之一,歐洲市場上可靠的天然氣供應(yīng)商,也是國內(nèi)燃料和能源領(lǐng)域的龍頭企業(yè),自1998年開始向居民、企業(yè)和國家機構(gòu)供應(yīng)天然氣和石油產(chǎn)品。
轉(zhuǎn)載來源:CNCERT國家工程研究中心