01
本次美国管网运营商事件分析
本次事件回溯
美国当地时间5月8日,美国最大的天然气和柴油运输管道公司ColonialPipeline宣布,因遭受网络攻击而暂时停止运营,此事件对美国东海岸燃油供应造成了严重影响。
截至5月9日,Colonial公司称尚不清楚谁应为此次网络入侵负责,也不清楚该公司的管道运营将被暂停多久,Colonial公司关闭全部管线究竟是为了预防感染蔓延、还是设施已然整体沦陷?攻击背后的黑手究竟是谁?攻击者到底采取了哪些攻击方式?攻击路径是什么?但多家媒体报道称,这次网络攻击涉及勒索软件。
受此事件影响,5月9日,美国FBI、能源部、网络安全与基础设施安全局等多个联邦机构一起参与了事件调查。美国白宫同时宣布:美国进入国家紧急状态。这也是美国首次因网络攻击而宣布进入国家紧急状态。
目前官方未公开任何细节。
关于本事件猜测最多的:1、IT层防御较为薄弱,被人从外部找到突破口进入,进而导致OT层被攻击。2、工作模式未按照合规模式去严格遵守,被感染的存储介质被带入内部并接入计算机,从而引发一连串连锁反应。3、该公司早已被其他人成功渗透,并窃取了TeamViewer与微软远程桌面等控制软件的登录密码与授权等相关信息。目前美国共有18州获得临时工作时间豁免,以运输汽油、柴油、航空燃料和其他精炼石油产品。这18个州分别是阿拉巴马、阿肯色、哥伦比亚特区、特拉华、佛罗里达、乔治亚、肯塔基、路易斯安那、马里兰、密西西比、新泽西、纽约、北卡罗来纳、宾夕法尼亚、南卡罗来纳、田纳西、得克萨斯与弗吉尼亚。据专家称,燃油价格可能会在10日上涨2-3%,但如果这种情况持续更长时间,将会带来比目前严重得多的影响。已有多个消息源确认,进行此次勒索软件攻击的网络犯罪团伙名叫“DarkSide”。他们于5月6日渗透进入殖民管道的网络,取走了近GB的数据并提出赎金要求。攻击者要求在周五得到赎金。如果没有收到赎金,他们威胁将会把这些数据泄漏到互联网上。该公司于9日晚间表示,尽管目前仍有四条主要管线仍处于离线状态,但一些位于终端与支付点之间的小型管线目前已恢复运作。团伙特点
他们会列出所有已被偷窃的数据的类型,并发送一个“私人泄露页面”网址给受害者们,在那个页面上,被盗窃的数据均已被上传,只等如果被勒索的公司或组织不在最终期限前付款,这些信息将会被自动发布。
该团伙开发出用于加密及窃取数据的软件,之后对“下线”进行培训,这些下线会收到一份工具包,其中包括该组织开发的软件、一份索取赎金的邮件模板,以及教他们实施攻击的教程。
每次成功实施网络攻击后,这些下线网络犯罪者都会从赎金中拿出一定比例的收入,支付给“DarkSide”。
今年3月,“DarkSide”推出了一款新型软件,可以比以前更快对数据进行加密。该组织举行了一场记者会,邀请记者进行采访。他们甚至在暗网上拥有一个网站,在那里详细地说明所为,列出他们攻击过的所有公司,偷走的内容,以及一个“道德”页面,在上面列出了他们不会攻击的组织名称。经长期追踪,该组织一直试图避免攻击独联体国家(CommonwealthofIndependentStates)企业的表现来看,这个团伙可能位于俄语国家。独联体国家包括俄罗斯、乌克兰、白罗斯(白俄罗斯)、格鲁吉亚、亚美尼亚、摩尔多瓦、阿塞拜疆、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦及乌兹别克斯坦。历史相关事件
无独有偶,历史上在管道行业和关键信息设施设施领域,也发生过多起重大网络攻击事件:1、年12月,土耳其境内的伊拉克向土耳其输送原油的输油管道爆炸。土耳其为了监控从里海通向地中海的英里的石油管道内的状态,在这条管道内安装了探测器和摄像头,然而在爆炸将管道破坏前,却没有引发遇险信号,调查原因表明:黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。2、年2月,美国国土安全部发布公告,一家未公开名字的天然气管道运营商,在遭到勒索软件攻击后关闭压缩设施达两天之久。据悉,攻击始于钓鱼软件内的恶意链接,攻击者从IT网络渗透到作业OT网络,并植入勒索软件。3、年5月,台湾石油汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)遭受勒索软件攻击。对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台,导致用户无法正常支付。02
天然气管道行业网络安全隐患深度分析
天然气管网行业指的是天然气(包括油田生产的伴生气)从开采地或处理厂输送到城市配气中心或工业企业用户的管道。天然气管道沿线一般数千公里,涉及储配站、LNG、门站、值守站等大量工业控制设备和工艺流程,也增加了网络安全的攻击暴露面,典型的完整网络架构共分为L0-L4,其中L4为办公网、L3-L0为生产网,具体如下图所示:
广义的天然气管网行业安全涉及两大类:一是网络安全、一是设备安全;我国油气