工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國家重要基礎設施的“大腦”和“中樞神經(jīng)”，超過80%的涉及國家民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)實現(xiàn)自動化作業(yè)。工業(yè)控制系統(tǒng)在帶來便利的同時，其網(wǎng)絡安全面臨設備高危漏洞、外國設備后門、APT、病毒、無線技術應用帶來的威脅及風險將越來越大。

2018年能源行業(yè)五大工控網(wǎng)絡安全事件

俄黑客對美國核電站和供水設施攻擊事件

2018年3月，美國計算機應急準備小組發(fā)布了一則安全通告TA18-074A，詳細描述了俄羅斯黑客針對美國某發(fā)電廠的網(wǎng)絡攻擊事件。

通告稱俄黑客組織通過（1）收集目標相關的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼；（2）盜用合法賬號發(fā)送魚叉式釣魚電子郵件；（3）在受信任網(wǎng)站插入JavaScrip或PHP代碼進行水坑攻擊；（4）利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息；（5）構建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。

本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關計算機的詳細信息，并在該計算機上保存有關用戶帳戶的信息。此安全事件告誡我們：加強員工安全意識教育和管理是十分必要的，如密碼定期更換且不復用，安裝防病毒軟件并確保及時更新等。

中東石油和天然氣行業(yè)頻繁受到網(wǎng)絡攻擊

自2017年3月至今，近3/4的中東石油和天然氣工業(yè)組織經(jīng)歷了安全危害，導致其機密數(shù)據(jù)或操作技術中斷，在中東受到的所有網(wǎng)絡攻擊中石油和天然氣行業(yè)占據(jù)了一半的比例。

最嚴重的一次攻擊事件發(fā)生在2017年8月，沙特阿拉伯的一家石油工廠使用的Triconex安全控制器系統(tǒng)中存在漏洞，惡意軟件試圖利用漏洞破壞設備并企圖以此引發(fā)爆炸摧毀整個工廠，但由于惡意代碼寫入存在缺陷，未能引發(fā)爆炸。此安全事件告誡我們：對于工業(yè)控制系統(tǒng)要及時進行更新，修復安全漏洞。

美國天然氣公司被攻擊導致交易系統(tǒng)關閉

2018年4月2日，美國能源公司EnergyServicesGroup的天然氣管道客戶交易系統(tǒng)受到網(wǎng)絡攻擊，造成系統(tǒng)關閉數(shù)小時，萬幸的是此次攻擊主要影響的是客戶賬單信息，并未對天然氣流量造成影響。天然氣管道客戶交易系統(tǒng)用于幫助管道運營商加快跟蹤和調度天然氣流量，此系統(tǒng)被關閉可能導致天然氣流量供應異常。

烏克蘭能源部網(wǎng)站遭黑客攻擊要求支付贖金解鎖

2018年4月24日，烏克蘭能源和煤炭工業(yè)部網(wǎng)站遭黑客攻擊，網(wǎng)站癱瘓，主機中文件被加密，主頁留下要求支付比特幣贖金的英文信息，以此換取解鎖文件。經(jīng)過烏克蘭網(wǎng)絡警察部門調查，能源和煤炭工業(yè)部網(wǎng)站受到攻擊是一起孤立事件，不構成大規(guī)模網(wǎng)絡攻擊。烏克蘭政府的其他部門和機構網(wǎng)站沒有遭遇類似狀況。

印度電力公司遭勒索攻擊，大量客戶計費數(shù)據(jù)被竊取鎖定

2018年3月21日，印度UttarHaryanaBijliVitranNigam（簡稱UHBVN）電力公司的網(wǎng)絡系統(tǒng)遭到了匿名黑客組織入侵，黑客在獲取其計算機系統(tǒng)訪問權限后，進一步侵入計費系統(tǒng)并竊取和鎖定了大量客戶計費數(shù)據(jù)，同時向UHBVN公司勒索價值1000萬盧布（約15萬美元）的比特幣作為贖金。

據(jù)悉，UHBVN公司負責哈里亞納邦9大地區(qū)的電力供應和費用收取，客戶數(shù)量超過26萬名（包括民用、商用和工業(yè)用電），此次遭黑客竊取的數(shù)據(jù)是客戶的消費賬單，包括電費繳納記錄、未支付費用及客戶地址等。UHBVN公司發(fā)言人表示，遭黑客竊取的數(shù)據(jù)庫進行了加密處理，因此與之相關的數(shù)據(jù)并不會遭到泄露；此外，公司擁有該數(shù)據(jù)庫的備份并已完成了數(shù)據(jù)恢復，不會有業(yè)務因此中斷或遭受損失。

2018年能源行業(yè)五大重大工控安全漏洞

羅克韋爾工控設備曝多項嚴重漏洞

2018年3月，思科Talos安全研究團隊發(fā)文指出羅克韋爾自動化公司的Allen-BradleyMicroLogix1400系列可編程邏輯控制器(PLC)中存在多項嚴重安全漏洞，這些漏洞可用來發(fā)起拒絕服務攻擊、篡改設備的配置和梯形邏輯、寫入或刪除內存模塊上的數(shù)據(jù)等。該系列可編程邏輯控制器被各關鍵基礎設施部門廣泛運用于工業(yè)控制系統(tǒng)（ICS）的執(zhí)行過程控制，一旦被利用將會導致嚴重的損害。思科Talos團隊建議使用受影響設備的組織機構將固件升級到最新版本，并盡量避免將控制系統(tǒng)設備以及相關系統(tǒng)直接暴露在互聯(lián)網(wǎng)中。

思科網(wǎng)絡設備爆嚴重安全漏洞

2018年3月，思科公司發(fā)布了一個遠程代碼執(zhí)行嚴重漏洞通告（CVE-2018-0171），通告了其網(wǎng)絡設備上使用的IOS和IOS-XE操作系統(tǒng)的SmartInstallClient（用于設備即插即用配置和鏡像管理功能）代碼中存在一處緩沖區(qū)溢出漏洞。攻擊者無需通過身份驗證就可向遠端思科設備的TCP4786端口發(fā)送精心構造的惡意數(shù)據(jù)包觸發(fā)漏洞，從而遠程執(zhí)行任意命令或導致設備停止服務。

該漏洞相關的技術細節(jié)和驗證程序已經(jīng)公開，根據(jù)國家信息安全漏洞共享平臺（CNVD）發(fā)布的公告顯示，全球約14.3萬臺設備面臨潛在威脅。俄羅斯和伊朗兩國的網(wǎng)絡基礎設施近日已遭到利用此漏洞的網(wǎng)絡攻擊，進而波及了兩國的ISP（互聯(lián)網(wǎng)服務提供商）、數(shù)據(jù)中心以及某些網(wǎng)站，黑客利用該漏洞將路由器重置為默認配置，并向受害者顯示信息。目前，思科已發(fā)布該漏洞修復補丁及相關修復指南。

西門子繼電保護設備曝高危漏洞

2018年4月，ICS-CERT（美國工控系統(tǒng)網(wǎng)絡應急響應小組）發(fā)布安全通告稱使用EN100以太網(wǎng)通信模塊和DIGSI4軟件的西門子繼電保護設備SIPROTEC4、SIPROTECCompact、Reyrolle存在三個高危漏洞，可能會被黑客利用來攻擊變電站和其他供電設施。

此類設備用于控制和保護變電站及其他電力基礎設施，當這些漏洞被成功利用時，攻擊者能夠通過覆蓋設備配置信息、嗅探網(wǎng)絡流量等方式獲取設備管理員口令，繼而導致電力設備保護功能中斷。

思科多款工控產(chǎn)品存在SAML身份驗證系統(tǒng)漏洞

2018年4月，思科公司發(fā)布了一個關于SAML身份驗證系統(tǒng)的嚴重漏洞通告（CVE-2018-0229）。該漏洞允許未經(jīng)身份驗證的遠程攻擊者通過運行ASA（自適應安全設備軟件）或FTD（威脅防御軟件）來建立偽造的AnyConnect（桌面移動客戶端軟件）會話，從而開啟進一步的網(wǎng)絡攻擊。AnyConnect、ASA、FTD等基礎套件被廣泛應用于思科的工業(yè)安全設備、工業(yè)防火墻等設備中，一旦被利用將會導致嚴重的網(wǎng)絡安全風險，思科官方建議用戶通過升級補丁方式盡快對受影響設備進行修復。

Moxa工業(yè)安全路由器爆多項嚴重漏洞

2018年4月，思科Talos安全研究團隊發(fā)現(xiàn)Moxa公司的工業(yè)路由器EDR-810中存在17個安全漏洞，其中包括多個影響Web服務器功能的嚴重命令注入漏洞和導致服務器崩潰的拒絕服務(DOS)漏洞。EDR-810是Moxa公司2015年發(fā)布的一款集防火墻、交換機等多功能于一體的工業(yè)級多端口安全路由器，被廣泛應用于工業(yè)控制系統(tǒng)中。這些發(fā)現(xiàn)的漏洞已在MoxaEDR-810V4.1build17030317中得到確認，其早期版本的產(chǎn)品也可能受到了影響。目前，針對這些漏洞，Moxa公司已經(jīng)發(fā)布了新版固件以及相關修復指南。