西屋电气子公司罕见披露受Akira勒索软件攻击细节

近日，美国能源服务公司BHI Energy罕见地披露了网络攻击详情，包括Akira勒索软件如何在攻击期间入侵其网络并窃取数据。

BHI Energy隶属于西屋电气公司，是一家专业工程服务和人员配备解决方案提供商，为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。

在向受影响人员发送的数据泄露通知中，BHI Energy披露了有关Akira勒索软件团伙如何于2023年5月30日入侵其网络的详细信息。

回看本次勒索软件攻击之始，突破点正是VPN，Akira勒索软件通过窃取的第三方承包商VPN开启了此次攻击事件。在Akira历时一个月的侦查过程中，BHI Energy公司IT团队并没有及时发现和阻止，可见对VPN比较信任，而这却给了勒索软件可乘之机，让公司处于双重勒索状态之下。

一般来讲，第三方通过VPN接入公司网络通常会存在网络连接不稳定、安全性较差、存在泄密风险、影响生产效率等问题，近年来由VPN所引发的安全事件也时有发生。

在国际上，一些先进的大型智能制造企业已不再采用VPN，改为专线连接，例如在芯片行业，国外大型芯片制造厂的外部设备厂商都是通过专用网络为设备提供安全的端到端远程连接。

但与此同时，国外这一类设备远程运维解决方案商，并不与国产设备商合作，所以国内生产设备没有办法享受到远程协作的便捷。

基于这种情况，芯安信息安全推出了Eta物联网协作平台解决方案，芯安Eta是一款用在工业环境中的远程维护平台，为商业客户提供端到端的安全连接，由芯安负责运营并维护遍布全球的通信链路，企业用户可以在此平台上进行远程协同工作，例如完成远程调试设备、远程诊断设备故障等操作。

芯安Eta可提供多重防护，首先由乙方管理员对其内部/VPN接入用户进行身份验证及接入审批，其次使用MPLS专线网络，Ipsec保证连接安全，最后甲方对乙方接入申请进行审批，通过审批乙方才能访问VNC、SSH，并且甲方任何时候都可强制下线乙方连接。

假如BHI要求第三方承包商均使用安全专线连接公司内部网络，那么此次攻击事件便根本不会发生。

BHI表示，他们立即通知了执法部门并与外部专家合作恢复受影响的系统。Akira在BHI网络上的立足点已于2023年7月7日被清除。BHI还表示，由于备份数据未受勒索软件攻击影响（加密），因此能够在不支付赎金的情况下恢复系统。

虽然遭受了病毒攻击，但BHI应对得当，把损失降得很低，这是该公司敢于公布勒索攻击细节的底气所在。值得注意的是，本次BHI提前备份数据，使其得以不付赎金却能够还原系统，说明了信息安全最后一道防线正是灾备。

在芯片行业，深圳芯安基于对半导体行业近二十年信息安全实践，也推出了自己的灾备方案，即Omega机台灾备系统，它可以确保机台在遭受病毒攻击、系统崩溃、硬件损毁甚至失去原厂支持等情况后，能快速地还原生产环境，减少损失。

芯安信息安全还使用另一款知名勒索软件做了同款病毒测试，结果显示Omega机台灾备系统能在电脑系统遭受攻击之后，做到了快速地还原生产环境，点击下方视频可直接观看测试过程。

为了防止类似入侵事件再次发生，BHI表示已加强了安全措施，具体包括对VPN访问实施多因素身份验证、执行全局密码重置、扩展EDR和AV工具的部署以覆盖其环境中的所有资产，以及淘汰旧系统等。