【編者按】近日美國最大的燃油管道運營商Colonial Pipeline遭受勒索軟件攻擊，這并不令人感到意外。自1月份以來，影響關鍵基礎設施運營的攻擊數量急劇上升。水處理廠、燃料分配設備、能源和醫院等公用事業都受到黑客的高度關注。OTORIO發布的《2021年第一季度工業網絡犯罪影響報告》發現，遠程操作增加帶來的挑戰，加上黑客對OT網絡固有漏洞的認識不斷提高，導致2021年第一季度針對工業和關鍵基礎設施目標的網絡攻擊急劇上升。與上一季度相比，破壞性工業網絡攻擊增加了200%。

　　在此份報告中，OTORIO討論了2021年第一季度工業網絡攻擊的主要趨勢：破壞性工業網絡攻擊、勒索軟件、遠程訪問漏洞利用和網絡釣魚攻擊急劇上升；回顧了各行業中值得關注的攻擊事件：水處理、能源行業、海事部門、汽車和醫療保健；討論了網絡攻擊對制造業生產運營的影響；并回顧了遠程訪問和VPN漏洞。

　　在新冠肺炎疫情全球流行一年多后，制造業和關鍵基礎設施行業受到疫情的嚴重影響，導致運營中斷、生產力損失和銷售額下降等。因此，大多數公司不得不重新評估其運營模式，并增加自動化、遠程訪問解決方案、IT-OT融合和云技術等的使用。

　　在2020年，針對工業和關鍵基礎設施組織、政府和個人的網絡攻擊數量打破了紀錄。遠程操作增加帶來的挑戰，加上黑客對OT網絡固有漏洞的認識不斷提高，導致2021年第一季度針對工業和關鍵基礎設施目標的網絡攻擊急劇上升。

　　一、2021年第一季度主要趨勢

　　（ 1 ） 破壞性工業網絡攻擊翻倍

　　自1月份以來，影響大型制造廠商和關鍵基礎設施運營的攻擊事件數量急劇上升。水處理廠、燃料分銷商、能源公用事業公司和醫院等公用事業公司正受到黑客的高度關注。

　　2021年第一季度，有14家工業企業和關鍵基礎設施組織的運營遭受了受到網絡攻擊，數量超過2020年第3季度和第4季度的總和，與2020年第4季度相比增長了200%。

　　繼2020年針對工業企業的網絡攻擊上升之后，在2021年第一季度，隨著攻擊者的經驗增加，攻擊者會設法造成更嚴重的破壞。這可以解釋為什么美國拜登政府非常嚴肅地對待網絡安全威脅，并于5月12日簽署了一項行政令，重點關注運營水處理和能源輸送等公用事業的工業控制系統，以改善美國國家網絡安全和保護聯邦政府網絡。

　　（ 2 ） 日益嚴重的勒索軟件威脅

　　黑客選擇勒索軟件作為攻擊油氣管道運營商的攻擊手段也不足為奇。2021年第一季度，整個工業部門越來越多地成為勒索軟件威脅參與者的重點攻擊目標，至少70%針對運營網絡的主要攻擊是勒索軟件攻擊。

　　所有領域的勒索軟件攻擊都越來越大膽，越來越頻繁，而且代價也越來越高。針對工業組織的勒索軟件攻擊僅次于針對政府的勒索軟件攻擊。

　　勒索軟件威脅行為者正越來越多地采用更復雜的技術來威脅制造業運營和關鍵基礎設施。網絡安全專家們的研究結果顯示，代碼正在頻繁合并，這些代碼尋找并利用工業控制系統中的漏洞，并可以從IT網絡傳播到OT網絡。

　　然而，勒索軟件支付并不能說明問題的全部，向攻擊者支付贖金也不意味著攻擊已經結束。工業企業從網絡攻擊中恢復的時間平均為17天，一些企業需要數周甚至數月的時間才能夠全面恢復生產。

　　（ 3 ） 遠程訪問攻擊

　　新冠疫情對工業部門最重要的影響之一是促使制造業嚴重依賴遠程訪問OT網絡。隨著遠程訪問系統對生產和業務連續性的重要性增加，遠程訪問系統仍然是2021年數字化行業的致命弱點。

　　2021年第一季度，在工業自動化和控制系統中披露和報告的新漏洞超過52個，其中大部分與遠程訪問攻擊有關。

　　（ 4 ） 網絡釣魚攻擊

　　黑客和網絡詐騙團伙利用新冠疫情大流行，發送帶有疫情相關信息的欺詐性電子郵件和移動信息，誘使用戶點擊含有惡意軟件的惡意鏈接或打開附件。在疫情大流行的最初幾個月里，釣魚攻擊增加了近700%，其中許多包含與疫情相關的關鍵字。

　　在2021年，網絡罪犯正試圖利用疫苗來實施網絡釣魚攻擊。FBI去年12月就新冠肺炎疫苗相關的欺詐計劃發出警告。

　　網絡釣魚活動對制造業和關鍵基礎設施公用事業來說是巨大的風險，尤其是與遠程工作相關的風險。由于許多員工遠程操作生產車間和運營網絡，成功的網絡釣魚攻擊可以讓攻擊者直接訪問運營網絡。

　　今年早些時候，OTORIO研究人員與Check Point Research聯手，深入調查并分析了一場針對數千家全球組織的大規模網絡釣魚活動，揭示了整體感染鏈、基礎設施以及電子郵件的分發方式。攻擊者發起了一場網絡釣魚活動，成功繞過了Microsoft Office 365高級威脅保護（ATP），竊取了1000多名公司員工的憑據。有趣的是，由于他們的攻擊鏈中存在一個簡單的錯誤，網絡釣魚活動背后的攻擊者將他們竊取的憑據暴露在了公共互聯網上。通過簡單的谷歌搜索，任何人都可以找到被盜的憑證。

　　二、針對各行業攻擊事件回顧

　　（ 1 ） 水利行業

　　以任何標準衡量，水處理和分配都是至關重要的任務，為企業和家庭提供最基本和關鍵的資源。然而，通常由傳統系統提供動力的處理和分配作業，仍然高度暴露在網絡攻擊之下。

　　2021年2月，黑客入侵了佛羅里達州Oldsmar市的水處理系統，該市有近14000名居民。攻擊者操縱了供水系統的氫氧化鈉水平，如果不是一個員工迅速發現的話，這可能會危及數千人的生命。

　　攻擊者通過TeamViewer的一個保護較差的版本獲得了對Oldsmar工廠系統的訪問權，TeamViewer是一個廣泛用于管理遠程訪問IT系統的工具。在攻擊發生前6個月，該設施已經停止使用TeamViewer，但仍保留安裝。攻擊使用多個用戶和設備共享的被盜憑據遠程登錄到控制供水系統的HMI站。

　　（ 2 ） 能源行業

　　能源行業是全世界網絡犯罪分子的攻擊目標。受害者包括荷蘭能源供應商Eneco、巴西能源公用事業公司Copel和Eletrobras、及英國能源巨頭Npower等。

　　2021年1月，巴西燃料分銷商Ultrapar因受到網絡攻擊而停止了部分子公司的運營，公司花了將近兩天時間才恢復運營。

　　（ 3） 海事部門

　　海事部門由于依賴于航海、通信和物流技術，因此特別脆弱。與此同時，船上和陸基系統都在迅速老化，許多貨船的平均使用壽命為25-30年。

　　這種脆弱性和經濟中心性的結合，導致了對海事船舶和基礎設施的網絡攻擊不斷增加。世界經濟論壇將對交通基礎設施的網絡攻擊列為2020年世界第五大風險，而對海事部門的網絡攻擊在過去三年中增加了驚人的900%。在2020年被攻擊的目標中，包括聯合國海事機構、航運巨頭MSC和法國集裝箱運輸公司CMA CGM。

　　（ 4 ） 汽車行業

　　勒索軟件威脅者越來越多地采用更復雜的技術來威脅整個制造業務，特別是汽車行業。據報道，2021年2月，起亞汽車公司遭到勒索軟件DoppelPaymer的攻擊，導致運營中斷，包括其車載OEM信息娛樂和遠程信息處理服務UVO的中斷。起亞的母公司現代汽車美國公司也受到了攻擊的影響。2021年3月，Applus Technologies的汽車排放測試平臺遭到網絡攻擊，導致美國8個州的汽車檢測工作至少中斷了兩周。

　　犯罪分子顯然把目光投向了汽車行業，因為他們明白制造商和服務提供商承受不起任何運營中斷。汽車行業是數字化和自動化領域的領先行業之一，因此更容易受到網絡攻擊。

　　（ 5 ） 醫療保健

　　隨著全球醫療系統持續與新冠疫情斗爭，網絡犯罪分子也繼續以醫療機構的操作系統為攻擊目標，造成了對疫情應對的減緩，并且干擾了患者護理。

　　法國西南部的達克斯醫院在2月9日遭到勒索軟件攻擊，然后在2月15日，里昂附近的一家醫院也遭到了類似攻擊，這兩次攻擊都使用了Ryuk勒索軟件。3月8日法國西南部Oloron-Sainte-Marie醫院也遭受了勒索軟件攻擊。黑客關閉了醫院系統，影響手術設備、藥物管理、患者記錄和其他醫療管理系統。患者干預和治療被取消，危重患者被轉移到其他醫院。

　　三、對制造業生產運營的影響

　　自2021年1月以來，攻擊者已經成功擾亂了多家大型制造企業的生產運營，包括：

　　1月，美國包裝業巨頭WestRock遭受了勒索軟件攻擊，造成公司生產和運輸能力嚴重中斷，公司股票因此在短短一周內下跌了11%。

　　3月，跨國啤酒制造商Molson Coors遭受了惡意軟件攻擊，導致處理啤酒廠運營、生產和發貨的部分業務延誤和中斷，直至4月份其生產業務才緩慢恢復。

　　3月，德國涂料制造商Remmers遭受了網絡攻擊，導致大部分生產關閉。

　　3月，加拿大物聯網設備制造商Sierra Wireless遭受勒索軟件攻擊，導致生產基地停產，網站及內部運營也受到影響。

　　4月，意大利兩家工業生產企業遭受了Cring勒索軟件攻擊，導致生產設施暫時停產了兩天。

　　四、漏洞及利用

　　（ 1 ） VPN漏洞

　　攻擊者經常利用VPN解決方案中的漏洞來獲得對運營網絡的遠程訪問。Cring勒索軟件通過利用FortiGate VPN服務器中的一個漏洞CVE-2018-13379，被用于攻擊歐洲工業目標和控制系統。該漏洞使得未經驗證的攻擊者能夠獲取包含VPN用戶名和明文密碼的會話文件。

　　VPN解決方案的另一類漏洞是，惡意內部人員可以利用此類漏洞遠程攻擊組織網絡。攻擊者通常是不滿的現任或前任員工，他們保留著對敏感網絡的訪問權限。用戶可能會通過特權濫用造成廣泛的損害。

　　2021年4月，堪薩斯州埃爾斯沃斯Post Rock水區的一名前雇員在辭職兩個多月后被控遠程訪問一家水處理公司的計算機，并關閉了使水可以飲用的清潔和消毒程序。

　　（ 2 ） 遠程訪問漏洞

　　在2021年第一季度，工業自動化和控制系統中披露和報告了超過52個新漏洞。這些漏洞是在西門子、施耐德和TRUMPF等工業巨頭以及Pepperl + Fuchs和MB Connect等規模較小的工業制造商的產品中發現的。自動化軟件以及監控和遠程訪問解決方案的漏洞數量將在2021年繼續上升。

　　在2021年第一季度，OTORIO的滲透測試人員在工業遠程訪問解決方案MB Connect中發現了超過20個嚴重的安全漏洞。攻擊者可以利用這些漏洞造成嚴重破壞，包括：

　　通過在MB Connect設備中導致拒絕服務，阻止對數百個不同的MB Connect客戶生產車間的遠程訪問；

　　竊取敏感客戶信息和個人數據；

　　訪問MB Connect的敏感數據，包括源代碼、SQL文件和腳本文件；

　　控制MB Connect網站上的網頁，為有針對性的網絡釣魚攻擊提供便利，以竊取MB Connect客戶的證書。攻擊者可以使用這種被盜的憑證連接到客戶的生產車間，造成嚴重的破壞。

　　在當今網絡安全形勢不穩定的情況下，關鍵基礎設施運營要真正減輕損害，方法之一就是要防止破壞。可以使用一種網絡防御方法，將傳統的被動防御方法與適應環境需要的主動降低風險的方法相結合。主動防御方法包括在遭受攻擊前識別并緩解風險的行動，應對措施包括在遭受攻擊后依靠快速檢測和響應將生產中斷降至最低。

　　正如Colonial Pipeline遭受的勒索軟件攻擊和其他針對關鍵基礎設施的攻擊所示，攻擊通常只有在造成嚴重破壞后才能被檢測到，當涉及到關鍵公用事業時，攻擊可能會擾亂甚至危及人類的生命。

　　關鍵基礎設施組織如果采取積極主動的方式，采取先發制人的措施降低風險，將大大降低成為網絡攻擊受害者的可能性，也將減少潛在的損害和受到攻擊后的響應時間。這應該是任何公用事業安全和網絡安全利益相關者的首要任務。