《2023年工业控制网络安全态势白皮书.docx》由会员分享,可在线阅读,更多相关《2023年工业控制网络安全态势白皮书.docx(59页珍藏版)》请在课桌文档上搜索。
1、目录1.B5.42023年工控全相策,52.1 网络安全标准实践指南一网络罐安全风险评估实施指引52.2 商用密码徵蛛例5三三2.4 工业领域数据安全标准体系建设指(征求意见稿)62.5 信息安全技术网络安全保险应用指南(公开征求意见稿)62.6 网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿72.7 工业互联网安全分类分级管理办法(公开征求意见稿)72.8 工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)72.9 信息安全技术网络安全态势感知S用技术要求82.10 信息安全技术网络和终端隔离产品技术规范82.11 网网平艇82.12 网络安全设备与服务建立可信连接
2、的安全议92.13 信息安全技术大数据服务安全能力要求932023年血型工坤安全事件113.1 GhostSec黑客组织对白俄罗斯的工业远程终端单元进行攻击n3.2 GEDigital的服务器被发现存在5个可利用的漏洞,影响了多个关键基础设施部门113.3 北非国家军事ICS基础设施遭到黑客攻击123.4 半导体设备制造商MKSInstruments遭勒索软件攻击123.5 加密ATM制造商GeneralBytes遭黑客攻击,至少150万美元被盗133.6 黑客对以色列关键基础设施进行新一轮网络攻击133.7 电力和自动化技术巨头ABB遭到勒索软件团队攻击133.8 工控安全公司DragOS遭
3、SJ勒索软件团队攻击143.9 SuncorEnergy遭受网络攻击影响全国加油站:线上支付或瘫痪,仅支持现金143.10 日本名古屋港口遭到勒索攻击导致货运业务暂停143.11 澳大利亚基础设施公司遭受Ventia网络攻击153.12 美国芝加哥贝尔特铁路公司遭遇勒索软件攻击153.13 APT28继R针对乌克兰关键能源基础设施进行网络攻击153.14 研究人员披露针对俄罗斯国防工业的MataDOOr后门攻击163.15朝鲜黑客攻击韩国造船业窃取军事机密163.16 DPWorld遭遇网络攻击导致约3万个集装箱滞留港口163.17 爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天17概lR1
4、95日关t11I_235.1 国际工控设备暴露情况275.2 国内工控漏暴露情况295.3 国内工控协议暴露数量统计情况325.4 俄乌冲突以来暴露设备数量变化335.5 工业控制系统暴露数量数据变化分析361.1 工控蜜罐全球捕获流量概况371.2 工控系版击流量分析4063工控系飒击类型WSU431.4 工控蜜罐与威胁情报数据关联分析461.5 工控网融针481.5.1 数据姐三,Honeyeye481.5.2 网络安全态势可视化497 .工联网全发展及未57.1 工业互联网安全发展现状507.1.1 工业互联网安全产业发展现状507.1.2 工业互联网安全技术发展现状517.1.3 工业
5、互联网安全目前面临的风险和挑战517.2 政策标准完善5373安全技术融合547.4 产业协同创新568 59务考。献AfoVr1 .前言工业控制网络是工业生产的“核心大脑”,用于监控、管理工业生产过程中的物理设备,确保生产的稳定性和可靠性,提高生产效率,在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展,数字时代的步伐愈发坚定,工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第52次中国互联网络发展状况统计报告显示,工业互联网网络体系迅速扩大,截至2023年6月,中国工业互联网标识解析体系覆盖31个省(区、市),其中超过240家工
6、业互联网平台具有一定影响力,一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善,态势感知、风险预警和基础资源汇聚能力进一步增强,“5G+工业互联网”等融合应用不断涌现,快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇,但同时又带来更加严峻的安全风险与挑战,工业互联网安全问题不仅关系到每个企业和个体的切身利益,更关系到国家的长远发展。为贯彻落实国家网络安全、数据安全相关法律要求,进一步提升工业企业的工控安全保障能力,2023年U月8日,主题为“筑牢工控安全防线护航新型工业化发展”的“2023年工业信息安全大会工业控制系统网
7、络安全专题论坛”在北京举行,为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关,保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http:WWW),并根据“谛听”收集的各类安全数据,撰写并发布2023年工业控制网络安全态势白皮书,读者可以通过报告了解2023年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析,有助于全面了解工控系统安全现状
8、,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。2 .2023年工控安全相关政策法规标准工业互联网不仅是促使信息技术与工业经济深度融合的关键动力,同时也在我国制造强国和网络强国战略中发挥着重要作用。回首2023年,我国在工业信息安全领域取得显著进展,不仅进一步完善了政策标准,同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升,为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设,提高安全建设水平,我国在2023年陆续推出了多项涉及工业互联网安全的政策法规报告。通过梳理2023年度发布的相关政策法规标准,整理各大工业信息安全研
9、究院和机构基于不同法规发布的解读文件,现摘选部分重要内容并进行简要分析,旨在让读者更深入了解国家在工控安全领域的政策导向。2.1 网络安全标准实践指南一网络数据安全风险评估实施指引2023年5月28日,网络安全标准实践指南一网络数据安全风险评估实施指引(以下简称评估指引)发布,旨在引导网络数据安全风险评估工作,遵循中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规,并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容,强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。2.2 商用密码管理条例2023年4月14日
10、,国务院第4次常务会议修订通过商用密码管理条例,该条例自2023年7月1日起施行。随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。条例鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性;明确关键信息基!耍谛听网络安全团队础设施的商用密码使用要求和国家安全审查要求。2.3 网络数据安全风险评估实施指引(公开征求意见稿)2023年4月18日,全国信息安全标准化技术委员会
11、秘书处发布网络安全标准实践指南网络数据安全风险评估实施指引(征求意见稿),现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到,进行数据安全保护和数据处理活动的风险评估时,应始终以预防为主、主动发现和积极防范为基本原则,及时发现数据存在的潜在风险,以提升数据安全的防御能力,包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。2.4 工业领域数据安全标准体系建设指南(征求意见稿)2023年5月22日,工信部发布工业领域数据安全标准体系建设指南(2023版)(征求意见稿),其中规定了工业领域数据安全标准体系的建设目标。到2024年,将初步构
12、建该标准体系,切实贯彻数据安全管理要求,满足工业领域数据安全需求,推动标准在关键行业和企业中应用,研发30项以上的数据安全国家、行业或团体标准;2026年,将形成更为完善的工业领域数据安全标准体系,全面遵循相关法律法规和政策制度,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面展开,有力支持工业领域数据安全的关键工作,研制100项以上的数据安全国家、行业或团体标准。2.5 信息安全技术网络安全保险应用指南(公开征求意见稿)2023年9月13日,全国信息安全标准化技术委员会秘书处发布信息安全技术网络安全保险应用指南(以下简称应用指南)征求意见稿。应用指南
13、汲取了国际网络安全保险标准成果,结合我国网络安全保险产业和风险管理实践,提炼适合我国国情的应用指南,以协助组织通过网络安全保险有效处理和管理风险。该指南明确了网络安全保险应用的关键环节,包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容,为网络安全保险的实际应用!耍谛听网络安全团队提供操作性的指导建议,解决了应用中涉及的基本安全技术和差异性问题。2.6 网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿2023年9月21日,全国信息安全标准化技术委员会发布了网络关键设备安全技术要求可编程逻辑控制器(PLC)国家标准的征求意见稿。该
14、文件明确了将可编程逻辑控制器(PLC)纳入网络关键设备范畴的相关规定,涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求,以及相应的安全保障要求。2.7 工业互联网安全分类分级管理办法(公开征求意见稿)2023年10月24日,为加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理,工信部公开征求对工业互联网安全分类分级管理办法(公开征求意见稿)的意见。意见稿指出,工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业
15、互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。2.8 工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)2023年12月15日,推进工业和信息化领域数据安全应急处置工作的制度化和规范化,工业和信息化部网络安全管理局起草了工业和信息化领域数据安全事件应急预案(试行)。该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度,分为特别重大、重大、较大和一般四个级别。预案强调应急工作要实现统一领导、分级负责,实
16、行统一指挥、协同协作、快速反应、科学处置,并明确了责任分工,以确保数据安全处理者履行数据安全主体责任。2.9 信息安全技术网络安全态势感知通用技术要求2023年3月17日,由公安部第三研究所牵头编制的信息安全国家标准GB42453-2023信息安全技术网络安全态势感知通用技术要求,己由国家标准化管理委员会正式发布,标准于2023年10月1日正式实施。作为国内首份网络安全态势感知的国家标准,该标准规范了网络安全态势感知体系的核心组件,包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方面的通用技术要求。此标准的发布为中国网络安全态势感知的规范化发展提供了重要的指导标准,对国内网
17、络安全态势感知建设具有重要的参考和指导价值。2.10 信息安全技术网络和终端隔离产品技术规范2023年5月15日,信安标委发布信息安全技术网络和终端隔离产品技术规范。标准作为信息安全等级保护技术要求系列标准的关键组成部分,同时规定了网络和终端隔离产品的分类、级别划分、安全技术要求以及测评方法。其目的在于指导设计者如何设计和实现符合特定安全等级需求的隔离部件,主要通过对隔离部件安全保护等级的划分来阐述技术要求,即详细说明为实现各个保护等级所需的安全要求,以及在不同安全级别下各安全技术要求的具体实现差异。2.11 网络安全工业互联网平台安全参考模型2023年7月,我国牵头提出的国际标准ISO/IE
18、C24392:2023网络安全工业互联网平台安全参考模型正式发布。ISO/IEC24392作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础设施的安全性。2.12 网络安全设备与服务建立可信连接的安全建议2023年8月8日,我国牵头提出的国际标准ISO/IEC27071:2023网络安全设备与服务建立可信连接的安全
19、建议正式发布。该提案于2015年提交至ISO/IECJTC1/SC27,后经研究,于2019年4月正式立项,2023年7月正式发布。ISCHEC27071给出了设备和服务建立可信连接的框架和安全建议,内容涵盖硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,如移动支付、车联网、工业物联网等,有助于提高从设备到服务的全过程数据安全性。2.13 信息安全技术大数据服务安全能力要求2023年9月7日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第9号)
20、,全国信息安全标准化技术委员会归口的4项国家标准正式发布,包括GB/T32914-2023信息安全技术网络安全服务能力要求、GB/T43206-2023信息安全技术信息安全控制评估指南、GB/T43206-2023信息安全技术信息系统密码应用测评要求、GB/Z43207-2023信息安全技术信息系统密码应用设计指南,均将于2024年4月1日实施。其中GBb352742023信息安全技术大数据服务安全能力要求需要重点关注,由于网络安全服务需求不断增加,出现了低价竞标、交付质量差、不规范流程、安全风险等问题,影响了行业健康发展。为贯彻网络安全法数据安全法关键信息基础设施安全保护条例等法律法规,确保
21、服务质量、防范安全风险,提升规范性和可持续性,制定此标准。表2-12023国内部分出台政策法规标准序号月份出台政策法规标准13月信息安全技术网络安全态势感知通用技术要求24月信息安全技术信息安全控制(征求意见稿)34月商用密码管理条例45月工业领域数据安全标准体系建设指南(征求意见稿)55月网络安全标准实践指南一网络数据安全风险评估实施指引65月公路水路关键信息基础设施安全保护管理办法76月商用密码应用安全性评估管理办法(征求意见稿)87月安全工业互联网平台安全参考模型97月铁路关键信息基础设施安全保护管理办法(征求意见稿)107月信息安全技术网络安全产品互联互通框架(征求意见稿)118月网络
22、安全设备与服务建立可信连接的安全建议129月信息安全技术网络安全保险应用指南(征求意见稿)139月信息安全技术大数据服务安全能力要求149月网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿15IQ月工业互联网安全分类分级管理办法(征求意见稿)1610月工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)1710月商用密码检测机构管理办法1810月商用密码应用安全性评估管理办法1911月网络安全标准实践指南网络安全产品互联互通资产信息格式(征求意见稿)2011月工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)2112月工业领域数据安全标准体系建设指南(20
23、23版)2212月工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)2312月网络安全事件报告管理办法(征求意见稿)2412月民用航空生产运行工业控制系统网络安全防护技术要求2512月信息安全技术政务计算机终端核心配置规范(征求意见稿)2612月信息安全技术网络安全应急能力评估准则3 .2023年典型工控安全事件2023年全球工控安全事件依然层出不穷,给工业企业数字化转型带来了极高的安全风险。众多工控系统遭受了不同程度的网络攻击,给大量企业造成了不可估量的损失,甚至危及国家安全。本年度针对工控系统攻击的破坏程度及规模呈现扩大趋势,影响了多个行业,涵盖能源、交通、军工、制造、医疗等领域。
24、以下介绍2023年发生的一些典型的工控安全事件,通过以下事件可以了解工业网络面临的风险和发展趋势,以此来制定更加有效的相关策略应对未来可能遭受的攻击。3.1 GhostSec黑客组织对白俄罗斯的工业远程终端单元进行攻击2023年1月11日,GhoStSeC黑客组织声称对白俄罗斯的工业远程终端单元(RTU)进行了攻击,RTU是一种用于远程监控工业自动化设备的操作技术(OT)设备。GhostSec是Anonymous旗下的一个黑客主义行动组织,主要从事出于政治动机的黑客攻击。从Telegram小组提供的屏幕截图看出,攻击者加密了设备TELEOFlSRTU968V2上的文件,并且将加密文件后缀修改为
25、.fuckPutin。TELEO11SRTU968V2是一款新型3G路由器,由于其支持工业接口RS-232和RS-485,并且能够将工业协议ModbusRTU/ASCII转换为MOdbUSTCP,因此可以被视为远程终端单元(RTU)。此次攻击活动使得受害设备上的文件均被加密,攻击者只留下了一封内容为“没有通知信”的文件。经安全人员研究发现,TeleofisRTU968V2默认开启22端口的ssh服务并且允许使用root密码远程登录。攻击者可能通过这些配置弱点进入设备内部,从而实现设备文件加密。目前GhostSec黑客组织表现出在某些情况下破坏企业和运营的能力。GhostSec最新的攻击活动也再
26、次表明,这些组织有兴趣寻找ICS设备,如果这些设备受到攻击,可能会影响工业自动化环境中的生产和系统安全性。3.2 GEDigital的服务器被发现存在5个可利用的漏洞,影响了多个关键基础设施部门2023年1月17日,工业网络安全公司Claroty的研究人员透露,其Team82团队在GEDigital的ProfiCyHiStOrian服务器中发现了五个可利用的漏洞,影响了多个关键基础设施部门。威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。这批漏洞影响GEProficyHistorianv7.0及更高版本。这些漏洞的存在与ICS和操作技术(OT)环境有关,因为这些历史数据库服务
27、器与企业系统共享过程信息,从而为攻击者从IT网络跳转到OT系统创造了一个有吸引力的支点。通过这批漏洞,攻击者可以在远程GEProficyHistorian服务器上以SYSTEM权限执行任意代码。此外,攻击者还能构建一个功能齐全的shell命令行界面(CLI),该界面支持多种命令,包括绕过身份验证、上传任意文件、读取任意文件、删除任意文件以及远程执行代码。美国网络安全和基础设施安全局(CISA)很快发布了一份工业控制系统(ICS)公告,将这些漏洞确定为使用备用路径或通道绕过身份验证、不受限制地上传危险类型的文件、不正确的访问控制和弱口令编码。目前GE公司表示GEProficyHistorianv
28、8.0.1598.0受到影响,针对最近发布的GEPrOfiCyHiStorian中的所有漏洞已发布相应缓解措施,并敦促用户升级以获得保护。3.3 d归E国家军事ICS基础设施遭到黑客攻击2023年1月27日,美国Cyble研究与情报实验室(CybleResearch&IntelligenceLabs,CRlD发布博客,发现一名黑客访问由北非国家的军事组织所使用的监督控制和数据采集系统(SCADA)和热成像摄像机(ThermalImaging,TD,该黑客发布了一张TI相机系统的访问面板的图像,CRIL研究人员确定该面板属于一家著名的原始设备制造商,该公司为全球几支武装部队制造军用级Tl相机,黑
29、客利用这些系统数据获得了对军事资产的网络访问。经过进一步调查,CRIL发现暴露的TI相机有多个漏洞,如信息披露、未经授权的远程代码执行(RCE)和硬编码凭证问题,这些漏洞的存在不仅可以为黑客提供对军事基地的监视能力,还可以让他们渗透到操作技术(OPeratiOnalTechnology,0T)网络。3.4 半导体设备制造商MKSInStrUmentS遭勒索软件攻击2023年2月3日,半导体设备制造商MKSInstruments遭受勒索软件的攻击,此事件影响了其生产相关系统,该公司发现勒索软件造成的影响后,立即采取行动启动事件响应和业务连续性协议以遏制其危害继续扩散。MKSInstruments
30、的网站在很长一段时间内无法被访问。该公司表示,它已通知执法部门,同时通过聘请事件响应专业人员调查和评估事件的影响。MKSInstalments高级副总裁说:“该事件影响了某些业务系统,包括与生产相关的系统,作为遏制措施的一部分,公司已决定暂时停止某些设施的运营。”该公司表示,正在努力尽快恢复系统和受影响的运营。3.5 加密ATM制造商GeneralBytes遭黑客攻击,至少150万美元被盗2023年3月17日,加密ATM制造商GeneralBytes发生了一起安全事件,导致至少150万美元被盗,迫使其关闭大部分位于美国的自动取款机,GeneralByteS将其描述为“最高”级别的违规行为。一些
31、自助服务终端只允许现金换加密货币交易,而其他是“双向”的,这意味着客户可以用他们的数字货币获取现金。根据其创始人KarelKyovsky详细描述该事件的声明,黑客利用用于上传视频的主服务接口中的漏洞,将自己的JaVa应用程序远程上传到该公司的服务器上。该事件使攻击者能够读取和解密API密钥,并访问交易所和在线维护的“热”加密货币钱包上的资金,他们还能够窃取用户名和密码,并关闭双因素身份验证。3.6 黑客对以色列关键基础设施进行新一轮网络攻击2023年4月9日,据英国信息安全、网络犯罪新闻平台HACKREAD报道,以色列的灌溉系统遭到了一系列网络攻击,导致数个水位监测器发生故障,同时针对该国的主
32、要基础设施机构网站(包括航空公司、交通、邮政和灌溉系统的网站)的网络攻击数量激增。同日,据JPOSt报道,在灌溉系统遭到攻击的前一周,以色列国家网络组织曾发出警告,在4月14日的“伊朗耶路撒冷日”庆祝活动之前的穆斯林斋月期间,针对以色列基础设施的网络攻击可能会增加,当局认为,这些网络攻击可能是由亲巴勒斯坦的黑客组织OPISraeI策划。3.7 电力和自动化技术巨头ABB遭到勒索软件团队攻击2023年5月7日,据美国网络安全媒体Bleepingcomputer报道,电力和自动化技术巨头ABB遭受了BlackBasta勒索软件团伙发起的网络攻击。ABB是一家行业领先的电气化和自动化技术的跨国提供商
33、,该公司为多家制造业和能源供应商开发工业控制系统(ICS)和SCADA系统,单在美国就运营着40多家工程、制造、研究和服务设施,并为多种联邦机构提供服务。Bleepingcomputer从多名员工处获悉,勒索软件攻击影响了公司的WindowsActiveDirectory,影响了数百台设备的正常工作,为解决该问题ABB已经采取一些措施如终止与其客户的VPN连接防止勒索软件传播来控制事件。目前ABB绝大多数系统和工厂现已重新启动并运行,继续为客户提供服务。3.8 工控安全公司Dragos遭到勒索软件团队攻击2023年5月8日,一个已知的勒索软件犯罪组织试图破坏工控安全公司Dragos的安全防御系
34、统并渗透到内网加密设备。Dragos表示其公司网络和安全平台在攻击中并未遭到破坏,攻击者的横向移动、提权、加密、驻留等攻击手段大多被Dragos的多层安全控制和基于角色的访问控制阻止了,但攻击者成功入侵了该公司的SharePoint云服务和合同管理系统。Dragos已经调查了公司安全信息和事件管理中的警报并阻止了受感染的帐户。3.9 SuncorEnergy遭受网络攻击影响全国加油站:线上支付或瘫痪,仅支持现金2023年6月25日,加拿大最大的合成原油生产商之一的SuncorEnergy发布新闻稿称其遭受了网络攻击,虽然新闻稿中表示尚未发现任何证据表明客户、供应商或员工的数据遭到泄露或滥用,但
35、目前其子公司Petro-Canada遍布加拿大的加油站已经无法支持客户使用信用卡或奖励积分付款,甚至其官网的账户登录也已经瘫痪,并且“洗车季通行证”的持有客户无法在Petro-Canada的洗车中心使用其特权。新闻稿表示目前公司正在采取措施并与第三方专家合作调查和解决这一情况,并己通知当局有关部门,近期与客户和供应商的一些交易可能会受到影响。3.10 日本名古屋港口遭到勒索攻击导致货运业务暂停2023年7月5日,日本最大且最繁忙的港口名古屋港发布了关于其统一码头系统(NUTS)遭到攻击的通知,NUTS是控制该港所有集装箱码头的中央系统。根据通知,勒索攻击发生于当地时间7月4日凌晨06:30左右
36、。名古屋港务局预计系统将于7月5日恢复上线,货运业务于7月6日恢复,在相关业务恢复之前,所有使用拖车在码头进行的集装箱装卸作业均已取消,这给港口造成了巨大的财务损失,并严重扰乱了进出日本的货物流通。7月26日,名古屋港再次发布调查通知,表示截至7月6日18时15分,所有码头业务已恢复运营,并且在爱知县警察本部和系统维护公司的共同调查下,名古屋港务局确认此次事件的原因是勒索软件感染。据报道,该机构曾于7月4日上午收到了一份用办公室打印机远程打印的赎金要求。3.11 澳大利亚基础设施公司遭受Ventia网络攻击2023年7月8日,基础设施提供商Ventia发布公告表示其发现了一起网络入侵事件,该事
37、件影响了Ventia的部分系统,目前Ventia已采取包括关闭关键系统等措施来遏制该事件,并聘请了外部网络安全专家,积极与监管机构和执法部门合作。Ventia是澳大利亚和新西兰最大的基础设施提供商之一,业务涉及国防.、能源、医疗保健、采矿、电信和水务行业。在7月9日的后续的声明中Ventia表示,他们仍在处理此次攻击事件,且其业务正在持续运营。3.12 美国芝加哥贝尔特铁路公司遭遇勒索软件攻击2023年8月12日,据ReCordedFUtUreNeW报道,美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公
38、司的转运和换乘设施。当地时间8月10日晚,Akira勒索软件团伙将该公司添加到其泄露网站,声称窃取了85GB的数据。贝尔特铁路总法律顾问ChristopherSteinway该公司最近意识到“一个威胁组织在其网站上发布消息称其己获得某些公司信息”,但“该事件没有影响我们的运营,我们己聘请一家领先的网络安全公司来调查这一事件,并正在与联邦执法部门合作”,目前贝尔特铁路公司仍然在调查此事件。3.13 APT28组织针对乌克兰关键能源基础设施进行网络攻击2023年9月4日,乌克兰计算机紧急响应小组(CERT-UA)发布公告称其发现了一起针对乌克兰关键能源基础设施的网络攻击。公告表示,此次网络入侵始于
39、一封钓鱼电子邮件,其中包含指向激活感染链的恶意ZIP存档的链接。CERT-UA表示:“访问该链接会将包含三个JPG诱饵图像和BAT文件weblinks.cmd的ZlP存档下载到受害者的计算机上“,并将此次攻击归因于名为APT28(又名BlueDeIta)的俄罗斯威胁行为者。该攻击会窃取目标主机信息,同时下载ToR隐藏服务来路由恶意流量。CERT-UA表示,关键能源基础设施的负责员工设法通过限制对Mockbin网络资源服务(mockbin.org、mocky.io)的访问并阻止在计算机上的启动WindoWSSCriPtHost,成功阻止了该网络攻击。3.14 研究人员披露针对俄罗斯国防工业的Ma
40、taDoor后门攻击2023年由9月27日,俄罗斯网络安全公司PositiveTechnologies发布安全分析报告,称其在2022年10月对一家俄罗斯工业企业的安全事件进行调查的期间,发现该企业被入侵的计算机上运行着以前从未见过的恶意软件样本。这些恶意软件可执行文件的名称与受感染计算机上安装的合法软件的名称相似,而且一些样本具有有效的数字签名。此外,已识别的可执行文件和库经过Themida保护程序的处理,使其更难被检测和分析。PositiveTechnologies对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门,并称之为MataDoor,其设计目的是为了长期在计算机
41、中隐蔽运行。3.15 朝鲜黑客攻击韩国造船业窃取军事机密2023年10月4日,韩国国家情报院发布名为国家情报局就“朝鲜针对造船业的黑客攻击蔓延”发出警告的新闻稿。新闻稿指出在去年8月和9月就已经发现了几起朝鲜黑客组织企图入侵主要造船厂的案件,朝鲜黑客组织之所以将目标对准韩国造船企业,是因为金正恩下达了建造大中型军舰的命令,并预测朝鲜的攻击趋势今后仍将持续,呼吁包括大型造船企业和船舶零部件制造商在内的相关企业进行彻底的安全管理。韩国国家情报院认为,黑客攻击的方法是夺取和绕过IT维护公司的个人主机,或向内部员工分发钓鱼邮件,然后安装恶意软件。韩国国家情报院敦促业界加强安全措施,包括“对黑客行为的蔓
42、延发出警告并禁止查看不明确的电子邮件”。3.16 DPWorld遭遇网络攻击导致约3万个集装箱滞留港口2023年11月12日,国际物流公司DPWOrklAUStraIia发布媒体公告,称其遭遇了严重破坏澳大利亚多个大型港口正常货运的网络攻击。根据报告,11月10日的一次网络攻击中断了其港口的陆上货运业务,为此,DPWorld启动了应急计划,并与网络安全专家展开合作,前公司正在测试恢复正常业务运营所需的关键系统。另外,媒体声明中还提到公司的部分数据很可能已经被非法访问、甚至遭到泄露,然而内部调查仍在进行中,该情况尚未证实。DPWOHd专注于货运物流、港口码头运营、海事服务和自由贸易区,负责运营4
43、0个国家的82个海运和内陆码头,其每年处理由70000艘船只运送的约7000万个集装箱,相当于全球集装箱运输量的约10%o3.17 爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天2023年12月7日,爱尔兰媒体WestemPeople报道,黑客攻击了爱尔兰埃里斯地区的一家私人集团供水公司,导致供水中断两天并影响到180户业主,之后工作人员努力修复Eurotronics以色列制造的抽水系统。攻击者出于政治动机,选择对该供水公司中源于以色列的设备进行攻击并破坏了抽水系统的用户界面,张贴了反以色列的信息。工作人员表示这些引进的设备防火墙安全系统可能不够强大,目前正在改进他们的安全系统,并与都柏林网
44、络犯罪局密切合作。表3-12023年部分安全事件序号时间国家/地区行业方式影响11月白俄罗斯工业网络攻击受害设备上的文件均被加密21月北非军工业未知军事资料被访问31月挪威运输业勒索软件约Iooo艘船舶出行受到影响42月美国制造业勒索软件生产系统被影响,公司网站无法被访问52月英国能源业网络攻击部分系统被关闭62月德国航空业DDoS攻击数千名乘客取消和延误航班73月荷兰运输业勒索软件公司系统宕机,私密数据被窃取83月印度国防业恶意软件国防资料被窃取93月美国金融业漏洞利用攻击至少150万美元被盗104月以色列农业网络攻击水位监测器发生故障115月美国制造业恶意软件生产设备出现故障125月美国制造业勒索软件数百台设备无法正常工作135月美国互联网勒索软件内网加密设备被渗透146月荷兰能源业勒索软件服务器的数据库被渗透156月加拿大能源业网络攻击官网瘫痪、用户数据被泄露167日口木冲蛤业甑中切主造成巨大的财务损失,并严重扰乱了7月日本运输业勒索攻击进出日本的货物流通177月澳大利亚制造业网络攻击部分系统停止运行187曰化砌的曲皿网丝为上BAZAN的数据采集与监视控制系统
