实锤了？德克萨斯液化天然气厂爆炸的幕后黑手可能是俄罗斯黑客！

据美国军事新闻网站6月24日的报道，刚刚公布的一份新报告显示，一个俄罗斯黑客组织可能针对德克萨斯州一家液化天然气厂的工业控制系统发动网络攻击，导致其于6月8日发生爆炸。国际级控制系统网络安全专家Joseph M. Weiss于6月21日在其博客中提出了同样的质疑。爆炸的Freeport LNG液化天然气工厂否认了网络攻击导致事件的说法。如果不考虑这两个专家有意引导舆论、构陷俄罗斯政府的情况，那么这起天然气工厂爆炸事故的网络攻击说还是很有说服力的。

6月8日，德克萨斯州金塔纳岛的自由港液化天然气 (Freeport LNG) 液化厂和出口终端发生爆炸，并损坏了生产设施。根据该公司6月14日的声明，该事件是由“液化天然气输送管线的一段超压和破裂，导致液化天然气快速闪蒸以及天然气蒸汽云的释放和点燃”引起的。该公司没有解释为什么安全系统没有启动。

周二（当地时间6月21日）与华盛顿时报国家安全作家汤姆罗根（Rogan）交谈的两名液化天然气管道专家表示，此类管道应该有广泛的安全机制。其中一位消息人士称，他相信该设施的管道流量将由联网控制设施进行控制。

根据对这两位液化天然气管道专家和其他多个来源的评估，罗根本周推测，天然气设施的工业安全控制可能已被恶意行为者入侵并关闭。自2017年以来，西方情报官员和网络安全专家已经意识到了一组称为TRITON或TRISIS的恶意软件工具。一个疑似来自俄罗斯的黑客组织XENOTIME使用这些工具关闭安全仪表系统以破坏工业设施。

3月24日，美国司法部对四名涉嫌在2012年至2018年期间代表俄罗斯政府在网络攻击中使用TRITON恶意软件的俄罗斯国民提出指控。同一天，联邦调查局发布咨询警告称，TRITON恶意软件工具仍然是一种对世界各地的工业系统构成重大威胁。

Rogan推测，6月8日在Freeport LNG设施发生的爆炸可能与此类黑客行为一致。Freeport LNG化工厂否认了Rogan的说法，该工厂回应说：“虽然关于本次事件的调查仍在继续，但在事件发生后的几天内，网络攻击基本被排除在外。在对我们的网络进行彻底评估后，我们的内部网络检测系统已被确认运行正常，并且没有表明我们的安全解决方案受到任何操纵或损害。”

虽然Freeport LNG总体否认了黑客理论，但Rogan写道，该公司没有使用必要的运营技术/工业控制系统网络检测系统来确定它们是否被TRITON或类似恶意软件作为目标。Rogan指出，在回应这一质疑时，Freeport LNG只说他们最初对黑客攻击说法的驳回“立场”并补充说“没有什么进一步的消息或证据”。也就是说罗根认为化工厂的反驳缺乏说服力。

“除非Freeport LNG适当部署了OT/ICS 网络检测系统并完成了取证调查，否则不能排除网络攻击，”罗根写道。

罗根指出，除了拥有进行此类袭击的手段外，俄罗斯也拥有这一动机。有动机，有能力，有历史上的成功案例，加上爆炸成功的后果，这几乎就能说明俄方有最大的嫌疑。但仍然需要一些实证！

与罗根交谈的另外两名消息人士称，在俄罗斯发动入侵乌克兰期间，俄罗斯 GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。

罗根还指出，美国液化天然气出口长期以来一直是俄罗斯关注的问题，因为它们削弱了俄罗斯在整个欧洲市场的天然气出口。自从俄罗斯入侵乌克兰以来，美国及其盟国一直试图切断俄罗斯石油和天然气产品的流通。罗根写道，6月8日自由港液化天然气设施爆炸后，欧洲天然气价格飙升。

无独有偶。关于此爆炸事件，国际级控制系统网络安全专家Joseph M. Weiss于6月21日在其博客中，撰文提出了同样的质疑。在这篇题目为《Was the Freeport Liquified Natural Gas (LNG) explosion that forced Europe to keep buying Russian natural gas a control system cyberattack?》的文章中，Weis首先引用了罗根在的相关观点；

其次，Weiss从技术角度提出了可能是网络攻击的理由，有几个与网络相关的问题可能导致 Freeport LNG 超压事件（并干扰其安全释放）。他们包括：过程传感器（压力变送器）问题——不正确的读数或安全设定值；控制器问题——控制器没有启动安全系统；最终元件（阀门）问题——阀门没有及时打开；这种故障可能是偶然的，也可能是人为破坏的结果。

第三，他也描述了俄罗斯方面的攻击动机。他引用了彭博社3月份的一份报道，称2022年2月中旬，黑客侵入了近两打主要天然气供应商和出口商的现任和前任员工的计算机，其中包括雪佛龙公司、 切尼尔能源公司和金德摩根公司。洛杉矶Resecurity Inc的首席执行官Gene Yoo表示，这些攻击的目标是参与液化天然气生产的公司，并且是渗透到能源行业日益关键的部门的 第一步。 它们发生在 2月 24日俄罗斯入侵乌克兰的前夕，当时能源市场已经被供应紧张所扰乱。

Weiss也从他的从业经验和历史上类似的事件中，讨论了攻击的方法。他坚持的观点是，系统或人员问题导致意外事件与蓄意的网络攻击导致的事故，是难以区分的。他断言，Freeport LNG液化天然气厂没有出色的安全记录。但这并不是唯一发生与控制系统相关的事件的LNG工厂。爆炸也可能是恶意网络相关问题的结果，因为老练的攻击者可以使网络攻击看起来像设备故障。Stuxnet 就是这样做的。另外，化工厂（和其他工厂）管道故障经常由管道故障专家进行调查，而不是由仪器仪表、控制系统、自动化或控制系统网络安全专家进行调查。这也可能导致网络攻击的因素被严重忽略。

6月8日的事件也将对Freeport LNG的运营产生持久影响。该液化天然气公司在6月14日的声明中表示，由于爆炸造成的损失，它要到2022年底才能完成所有必要的维修并恢复运营。德克萨斯州金塔纳岛的自由港液化天然气工厂每天可生产约 20亿立方英尺的液化天然气。这占美国液化天然气出口能力的15%以上。

XENOTIME被美国和英国政府评估为专注于关键基础设施的高级持续性威胁参与者。该组织的作案手法涉及针对工业控制系统和监督控制系统，以实现对网络的单方面控制。XENOTIME引起了西方安全界的特别关注，因为它的目标是安全系统，否则这些系统会减轻网络攻击期间对人员生命的威胁。XENOTIME的活动在 2022年升级。4月13日美国政府网络安全警告指出，“通过入侵和维护对 [工业控制系统]/[安全] 设备的完整系统访问权限，[威胁] 参与者可以提升特权......并破坏关键设备或功能。” XENOTIME使用了由俄罗斯国防部中央化学与力学科学研究所开发的精品TRITON/TRISIS恶意软件。该恶意软件旨在夺取工业控制系统并破坏相关的安全系统。

参考资源：

1.https://americanmilitarynews.com/2022/06/russian-hackers-may-be-behind-texas-natural-gas-plant-explosion-report/

2.https://www.washingtonexaminer.com/opinion/did-russian-hackers-blow-up-a-texas-lng-pipeline

3.https://www.controlglobal.com/blogs/unfettered/was-the-freeport-liquified-natural-gas-lng-explosion-that-forced-europe-to-keep-buying-russian-natural-gas-a-control-system-cyberattack/

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（网络安全应急技术国家工程实验室）：实锤了？德克萨斯液化天然气厂爆炸的幕后黑手可能是俄罗斯黑客！