年度盘点 | 2020重大网络安全事件 · 能源篇

admin 2021年1月14日19:24:29评论42 views字数 5129阅读17分5秒阅读模式

导读

2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。

微步在线持续密切关注全球网络安全态势,并对 2020 年全球重大安全事件进行了梳理,精选出金融、能源、互联网、政府、工控、医疗、教育等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。

2020 重大安全事件盘点将会按细分行业陆续发布,敬请持续关注。

年度盘点 | 2020重大网络安全事件 · 能源篇

源关系国家安全与基本民生,近年来针对石油、天然气以及核的 APT 事件时有发生,网络安全状况不容乐观。2020 年,我们观察到针对能源行业的网络攻击呈增长趋势,这其中主要包含各种勒索软件以及商业木马攻击。


2020年1月 | 乌克兰能源勘探生产公司 Burisma Holdings 遭到定向钓鱼攻击

Burisma Holdings 是一家位于乌克兰基辅的能源勘探和生产公司。在 2019 年 11 月初开始的定向网络钓鱼攻击中,攻击者通过窃取 Burisma Holdings 及其下属子公司和合作伙伴公司员工的电子邮件凭证,利用电子邮件账户中的数据以及操作权限进行网络钓鱼活动。为了确保了钓鱼活动的成功,攻击者将使用的木马伪装成 Burisma Holdings 常用业务相关应用程序,以迷惑 Burisma Holdings 员工。对这场针对 Burisma Holdings 的攻击活动的战术、技术和过程(TTP)进行分析发现,攻击者专注于仿冒凭据,主要在 Ititch、NameSilo、namebeach 和 Yandex 注册恶意域名。


微步在线点评 …

  1. 针对 Burisma Holdings 的本次攻击,攻击者前期重点目标是获取内部的邮件账号登录凭证和管理权限,然后再进行邮件攻击。因此,加强内部邮箱安全防护尤为重要,建议定期更换邮件密码并加强密码强度。

  2. 在本次攻击后期使用的木马伪装成内部员工的日常业务应用程序确保了钓鱼活动的成功概率,说明攻击者对本次攻击是具有长期谋划和准备的,具有较强的 APT 性质。

  3. 有关安全研究员根据域名相似性对比发现与俄军总参谋部情报总局(GRU)存在较大的相似性。虽然归因略有牵强,但从攻击目标的背景以及攻击者的手法可以判断为 APT 攻击,组织归属需要从木马、攻击源、攻击手法等多方面进行关联判断。



参考链接:

https://cdn.area1security.com/reports/Area-1-Security-PhishingBurismaHoldings.pd


2020年1月 | 欧洲能源部门服务器被植入 PupyRAT 后门

据 Recorded Future 报告,其通过网络流量分析技术检测到一家欧洲能源部门组织的邮件服务器和 PupyRAT 的 C2 存在通信,时间发生在 2019 年 11 月至 2020 年 1 月 5 日之间。PupyRAT 是一个开源,使用 Python 编写的跨平台和多功能的后渗透工具,曾被伊朗背景的多个 APT 组织使用。

Recorded Future 认为,由于欧洲能源部门在欧洲能源资源方面的协调作用,是 APT 组织感兴趣的关键组织,此活动可能是出于间谍活动动机或针对欧洲能源部门高价值网络的前期预置攻击。


微步在线点评 …

为应对 PupyRAT 类 RAT 的威胁,应加强安全策略,如引入多因子认证、使用强密码、监视账户的异常登录行为等。



参考链接:

https://www.recordedfuture.com/pupyrat-malware-analysis/


2020年2月 | 美国某天然气运营商遭勒索攻击被迫关闭

美国政府发布安全公告称,美国的一家天然气压缩运营商遭勒索软件攻击。公告并未说明勒索攻击是何时发生的,只是总结了该事件并为其它关键基础设施运营者提供了技术指导,以防类似攻击活动再次发生。该公告指出:网络威胁行动者使用了一个鱼叉式钓鱼链接获取对该组织机构信息技术网络的初始访问权限,之后跳转到其运营技术(OT)网络。


微步在线点评 …

企业应该加强员工的网络安全意识训练,并且加强企业的内部网络安全监控,尤其是生产网络。



参考链接:

https://us-cert.cisa.gov/ncas/alerts/aa20-049a


2020年4月 | Agent Tesla 间谍软件被用于针对能源行业的鱼叉攻击

2020 年 4 月,发生了两起针对能源及其垂直行业的鱼叉式钓鱼邮件攻击活动。攻击者利用精心伪造的电子邮件投递 Agent Tesla 间谍软件。Agent Tesla 间谍软件自 2014 年以来不断改进和更新,可通过公开渠道购买。3 月 31 日,攻击者以埃及国有石油公司 Enppi 之名发送电子邮件,邮件中邀请收件方为某真实存在的项目设备和材料投标,并标明投标截止日期。对了解该项目的石油和天然气行业人士而言,极易被引诱打开邮件中用于投递 Agent Tesla 间谍软件的恶意附件,该间谍软件会收集各种类型的凭据等敏感信息,受害国家包括马来西亚,伊朗和美国。第二次攻击发生在 4 月 12 日,攻击者以某油轮之名向收件人索要预估港口使用费等信息,该油轮真实存在,受害者大部分为菲律宾的货运公司。


微步在线点评 …

近期,国际石油价格波动成为热议话题,针对能源行业及其垂直行业的钓鱼邮件攻击活动可能增多,相关企业需要重点防范,切勿打开来源不可信的邮件附件。



参考链接:

https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/


2020年7月 | 伊朗纳坦兹核设施起火可能是人为破坏

伊朗核能机构发言人说,7 月 2 日伊朗主要核设施发生的大火造成了“重大损失”,同时表示,核设施起火事故是人为破坏造成的。一些伊朗官员此前曾表示,大火可能是网络破坏的结果。一名中东情报官员向《纽约时报》透露称,核设施遭到一枚强力炸弹袭击,此次袭击是以色列所为。以色列方面对于此事的态度是不承认也不否认。事件发生后的几周内,电力设施和其他地点发生了几起火灾和爆炸。


微步在线点评 …

伊朗核问题本质上是大国博弈。不论起火是网络攻击还是物理上的炸弹袭击,核设施都应该从各方面加强防御。


参考链接:

https://www.nytimes.com/2020/07/05/world/middleeast/iran-Natanz-nuclear-damage.html


2020年7月 | 葡萄牙能源巨头 EDPR NA 遭勒索并且影响母公司 EDP

能源巨头 EDP Renewables North America(EDPR NA)在 4 月 13 日证实遭到勒索软件攻击,该攻击影响了母公司 Energias de Portugal(EDP)的信息系统。此次事件涉及的信息包括:有关账单、合同、交易、客户和合作伙伴的机密信息。

该公司为超过 1100 万客户提供能源,EDP 集团于 4 月 13 日开始调查这次袭击,并通知了执法部门。据 BleepingComputer 报告,此次攻击者使用了 Ragnar Locker 勒索软件。据攻击者声称至少有 10TB 的个人隐私文件被窃取,并索要 1580 比特币或超过 1000万 美元的赎金,如果不支付赎金将公开这些信息。


微步在线点评 …

企业应该做好自身安全,防止重要业务系统失陷带来不可逆的损失,对于勒索软件最好的办法就是做好数据备份。



参考链接:
https://ago.vermont.gov/wp-content/uploads/2020/07/2020-06-30-EDP-Renewables-North-America-LLC-Notice-of-Data-Breach-to-Consumers.pdf


2020年7月 | 巴西电力公司 Light SA 遭 Sodinokibi 勒索

Sodinokibi 勒索软件(也称为 REvil)背后的黑客组织攻陷了巴西的电能公司 Light SA,索要 1400 万美元的赎金,以换取一种用于恢复加密文件的工具。Light SA 已向当地一家报纸证实了这一事件,但拒绝透露有关网络攻击的详细信息,只是说“黑客入侵了该系统,并发送了一种加密所有 Windows 系统文件的病毒


微步在线点评 …

Sodinokibi 是一个只针对 Windows 系统的勒索软件,企业应该做好网络安全建设并且做好数据备份以防止被攻击后造成不可逆的损失



参考链接:
https://www.cybersecurity-help.cz/blog/1373.html


2020年9月 | Netwalker 勒索软件袭击了巴基斯坦主要的电力供应商 K-Electric

K-Electric(KE)(前身为卡拉奇电力供应公司/卡拉奇电力供应有限公司)是一家巴基斯坦投资者所有的公用事业公司,负责生产和向消费者提供能源的三个关键阶段——发电,输电和配电。从 9 月 7 日开始,该公司的客户无法访问其帐户的服务。

Netwalker 勒索软件运营商要求支付价值 385 万美元的比特币。如果该公司在 7 天内不支付赎金,赎金将增加到 770 万美元。


微步在线点评 …

今年各勒索软件都很活跃,很多大型企业都中招了。各企业应该加强自生对未知威胁的防御能力,将威胁情报纳入企业的安全体系建设。



参考链接:
https://securityaffairs.co/wordpress/108075/malware/k-electric-netwalker-ransomware-attack.html


2020年10月 | 跨国能源公司 Enel 集团遭到勒索软件攻击

意大利跨国能源公司 Enel 集团遭到 Netwalker 勒索软件攻击,这是该集团今年遭受的第二次勒索软件攻击。Netwalker 勒索软件操控者声称从 Enel 窃取了 5TB 文件,要求支付 1400 万美元赎金来换取解密密钥,否则将泄露数据。

据外媒消息,早在今年 6 月,Enel 曾受到 Snake 勒索软件的攻击,但很快就遏制了该攻击。


微步在线点评 …

今年勒索软件泛滥,各大行业都有被勒索软件困扰包括能源金融科研医疗等都被波及。各大企业应该加强自身安全防护,做好数据备份。



参考链接:
https://www.bleepingcomputer.com/news/security/enel-group-hit-by-ransomware-again-netwalker-demands-14-million/


2020年10月 | 对中东石油和天然气供应链产业的 APT 攻击

攻击者对中东目标特别感兴趣,例如中东供应链中的组织和政府部门,尤其是阿拉伯联合酋长国( UAE)和卡塔尔。自 2020 年 7 月以来,针对中东石油和天然气行业多个供应链相关组织的针对性攻击有所增加。研究人员发现了以电子邮件附件形式发送恶意 PDF 文件的多个实例,并发现这些恶意文件被用来向这些组织分发窃取信息的木马文件 AZORult。


微步在线点评 …

石油、天然气一直是各国的热门话题,尤其是在中东,各国势力再次纷争。但中东地区互联网发展程度较低,安全防御能力也相对较低。与中东有业务往来的企业应该更加做好自身的网络安全。



参考链接:
https://www.zscaler.com/blogs/research/targeted-attacks-oil-and-gas-supply-chain-industries-middle-east


2020年11月 | 日本核监管局疑似遭到网络攻击

日本核监管局(NRA)暂停了其电子邮件系统,并在网站上发布了一条通知,要求人们通过电话或传真与之联系,该中断很可能是由网络攻击引起的。日本当局已对该事件进行了调查。美国政府警告说,有一个与朝鲜有关联的 APT 组织针对美国、韩国和日本收集有关核政策和制裁的情报。日媒报道称,一个未知的第三方设法获得了对日本核监管局网络的未经授权的访问。


微步在线点评 …

核安全一直是国际热门话题,与核相关的网络系统及部门也被各国的势力重点关注。各相关机构部门也应做好自身的安全,防止被渗透给自身带来安全隐患。



参考链接:
https://securityaffairs.co/wordpress/110284/hacking/nuclear-regulation-authority-cyber-attack.html



- END- 


前期 · 回顾

# 2020全球重大网络安全事件盘点·金融篇 #


下期 · 看点

2020全球重大网络安全事件盘点·互联网篇”将于下期发布,敬请持续关注。



年度盘点 | 2020重大网络安全事件 · 能源篇


本文始发于微信公众号(安全威胁情报):年度盘点 | 2020重大网络安全事件 · 能源篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月14日19:24:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   年度盘点 | 2020重大网络安全事件 · 能源篇http://cn-sec.com/archives/242236.html

发表评论

匿名网友 填写信息