3.1.2 典型安全事件

1.“震网”事件

2019年3月7日，国际网络安全公司赛门铁克（Symantec）发布“震网”病毒的报告，早在2009年6月，“震网”病毒首例样本就被发现，最终编译时间约为2010年2月3日。

2010年6月，“震网”病毒开始在全球范围大肆传播，截至2010年9月，已感染超过4.5万网络及相关主机。其中，近60%的感染发生在伊朗，其次为印尼和印度（约30%），美国与巴基斯坦等国家也有少量计算机被感染。数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。德国GSMK公司专家认为，“震网”病毒针对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。2010年8月布什尔核电站推迟启动的事件将“震网”病毒推向前台，并在社会各界迅速升温。2010年11月29日，伊朗总统内贾德公开承认，黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。据报道，“震网”病毒可能破坏了伊朗核设施中的1000台离心机。一位德国计算机高级顾问指出，由于“震网”病毒的侵袭，伊朗的核计划至少拖后了两年。

“震网”病毒同时利用微软和西门子公司产品当时的7个最新漏洞进行攻击。这7个漏洞中，MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统（其中，MS10-046、MS10-061、MS10-073、MS10-092属于0day漏洞），2个针对西门子SIMATIC WinCC系统。它最初通过感染USB闪存驱动器传播，然后攻击被感染网络中的其他WinCC计算机。一旦进入系统，它将尝试使用默认密码来控制软件。但是，西门子公司不建议更改默认密码，因为这“可能会影响工厂运作”。

2.乌克兰电力系统遭受攻击事件

2015年12月23日，乌克兰电力部门遭到恶意代码攻击，Kyivoblenergo电力公司发布公告称：“公司因遭到入侵，导致7个110kV的变电站和23个35kV的变电站出现故障，使80000个用户断电。”

安全公司ESET在2016年1月3日最早披露了本次事件中的相关恶意代码，表示乌克兰电力部门感染的是BlackEnergy（黑色能量），BlackEnergy被当作后门使用，并释放了KillDisk破坏数据来延缓系统的恢复。同时在其他服务器还发现一个添加后门的SSH程序，攻击者可以根据内置密码随时连入受感染主机。BlackEnergy曾经在2014年被黑客团队“沙虫”用于攻击欧美SCADA工控系统。当时发布报告的安全公司iSIGHT Partners在2016年1月7日发文，将此次断电事件矛头直指“沙虫”团队。

通过以上对变电站系统的分析并基于目前公开的样本，攻击者可能采用的技术手法为：通过鱼叉式钓鱼邮件或其他手段，首先向“跳板机”植入BlackEnergy，随后通过BlackEnergy建立据点，以“跳板机”作为据点进行横向渗透，之后攻陷监控/装置区的关键主机。同时由于BlackEnergy已经形成了具备一定规模的僵尸网络以及定向传播等因素，亦不排除攻击者已经在乌克兰电力系统中完成了前期环境预置和持久化。

攻击者在获得了SCADA系统的控制能力后，通过相关方法下达断电指令导致断电：其后，采用覆盖MBR和部分扇区的方式，导致系统重启后不能自举（自举只有两个功能：加电自检和磁盘引导）；采用清除系统日志的方式提升事件后续分析难度；采用覆盖文档文件和其他重要格式文件的方式，导致实质性的数据损失。这一组合拳不仅使系统难以恢复，而且在失去SCADA的上层故障回馈和显示能力后，工作人员被“致盲”，从而不能有效推动恢复工作。

3.委内瑞拉大规模停电事件

2019年3月7日下午5时，包括首都加拉加斯在内的委内瑞拉全国发生大规模停电。这是委内瑞拉自2012年以来持续时间最长、影响范围最广的停电，超过一半地区数日内多次完全停电。此次电力系统的崩溃没有任何预兆，多数地区的供水和通信网络也相应受到了严重影响。而到了7月22日，委内瑞拉再次发生大规模停电，此次停电的主要原因是提供全国六成以上电力的古里水电站计算机系统中枢遭到了网络攻击。

据专家分析，两次停电事故中的网络攻击手段主要包括三种：利用电力系统的漏洞植入恶意软件；发动网络攻击干扰控制系统引起停电；干扰事故后的维修工作。

4.挪威铝业集团遭受勒索攻击

2019年3月22日上午，全球顶级铝业巨头挪威海德鲁（Norsk Hydro）发布公告称，旗下多家工厂受到一款名为LockerGoga勒索病毒的攻击，数条自动化生产线被迫停运。据悉，勒索病毒先是感染了美国分公司的部分办公终端，随后快速传染至全球的内部业务网络中，导致公司的业务网络宕机，损失超过4000万美元。海德鲁公司采取了隔离传染设备的方式来遏制病毒的进一步爆发，但是由于不清楚病毒的传播途径和整体的感染状况，最终在恢复生产时面临了巨大的困难。

LockerGoga勒索软件旨在对受感染计算机的文件进行加密，据专业人士分析，该恶意软件没有间谍目的，且无法自行传播到网络上的其他设备，可能是利用ActiveDirectory进行传播的。此外，该恶意软件包含一些反分析功能，比如能够检测到虚拟机的存在，并删除自身以防研究人员收集样本。

5.伊朗黑客针对工业领域开发新型恶意软件ZeroCleare

2019年12月4日，IBM的X-Force事件响应和情报服务发布报告，披露了一种全新的破坏性数据清除恶意软件ZeroCleare，该恶意软件以最大限度删除感染设备数据为目标。ZeroCleare主要瞄准的是特定国家的能源和工业部门，披露时估计已有1400台设备被感染。从披露的攻击进程来看，黑客会先通过暴力攻击，访问安全性较弱的公司网络账号，而当成功拿到权限后，就会利用SharePoint漏洞安装所需的Web Shell工具。随后攻击者便会在入侵设备上开启横向扩散模式，最后进行破坏性的数据擦除攻击。

“破坏王”Shamoon的主要“功能”为擦除主机数据，并向受害者展示一条与政治相关的消息。例如，2012年在针对某些石油公司的攻击中，Shamoon清除了超过3万台计算机上的数据，并用一张焚烧美国国旗的图片改写了硬盘的主引导记录。IBM报告证实，ZeroCleare和Shamoon同宗，不同的是，Shamoon来自APT33组织，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）组织协作开发。