一

网络攻击事件概述

以色列最大炼油厂BAZAN在全球石油行业享有盛誉，年收入超过135亿美元，拥有1800多名员工，年炼油能力约为980万吨。

7月29日-7月30日，BAZAN 集团旗下网站bazan.co.il和eng.bazan.co.il遭受黑客组织DDOS攻击，导致无法进入，全球范围内访问该界面均显示“请求超时”、“被公司的服务器拒绝”等字样。

经BleepingComputer测试，该集团网站可以从以色列境内访问，这可能是由于BAZAN已经实施了地理封锁的举措的原因。

图：BAZAN 集团旗下网站遭受攻击导致无法访问

同时，伊朗黑客组织“网络复仇者”，又名“CyberAv3ngers”，在Telegram频道中声称他们已渗透到BAZAN网络，并发布了BAZAN集团公司的SCADA系统的屏幕截图。泄露的屏幕截图包括关键系统的图表，例如“火炬气回收装置”、“胺再生”系统、石化“分流器部分”和可编程逻辑控制器（PLC）代码。

然而，作为回应，BAZAN集团发言人迅速驳斥了泄露的材料，称其“完全是捏造的”。该公司声称正在积极调查该事件，但没有提供更多细节。

二

为什么近年来炼油厂频繁遭受

网络攻击？

近年来，炼油厂频繁遭受网络攻击，原因归结为以下三点原因：

1、重要性和关键性：炼油厂作为国家经济的重要组成部分，其运营和稳定对能源供应和经济发展至关重要。攻击者可能针对这一关键行业进行攻击，以达到破坏或获利的目的；

2、高收益利润：炼油厂通常涉及大量的资金和财务交易，攻击者可能试图窃取敏感信息、企图勒索或进行金融欺诈等活动，以获取高额利润，此外，炼油厂作为一个复杂的工业系统，涉及到大量的生产数据和关键信息，如生产过程参数、设备状态和供应链数据等，若这些数据被窃取和破坏，会影响企业的正常运行；

3、政治或地缘政治因素：一些网络攻击可能是由政治或地缘政治因素驱动的。攻击者可能试图破坏国家的经济、能源供应链或国际关系，从而对炼油厂进行网络攻击。

近年来，石化行业遭受的网络安全攻击统计如下，由此可见石化行业网络攻击愈发频繁：

三

石化行业头上悬的四把

网络攻击“利剑”

基于石化行业的重要性，目前已成为主要攻击目标，常见的攻击手段可归结为以下“四把网络攻击利剑”：

3.1

【 黑客攻击之“暗箭” 】

黑客攻击除了如以色列最大炼油厂遭受的DDOS攻击外，有的甚至造成了严重的爆炸事故。

在2008年8月5日，里海石油大动脉“巴库-第比利斯-杰伊汉石油管道”30号阀门站因遭受攻击在土耳其境内发生爆炸。令人奇怪的是，攻击阀门站的武器并非炸弹，而是黑客，而黑客进入控制系统的切入点竟是监控摄像头。

黑客利用监控摄像头存在的通信软件漏洞，用一个恶意程序建立了随时可进入内部系统的赛博通道，接下来的攻击行动就很简单了。在不触动警报的情况下，黑客通过加大石油管道内的压力，当压力大到管道或阀门难以承受时，爆炸就发生了。

明枪易躲，暗“剑”难防。人为刀俎，汝为鱼肉。这是“暗剑”的显著特点。

这些安全隐患皆源于软件缺陷、通道以及意想不到的疏漏。设备太多，防护太少，防不胜防。

3.2

【 病毒植入之“毒箭” 】

近年来，各企业用户被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏，该病毒大规模集中爆发。一时间人人自危，谈勒索病毒色变。刚刚应对完过去这一波勒索病毒，很多人还没有喘过气来。同是当年，一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的企业、政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的企业，重新用上了纸文件，加油站、医疗设备停止运行，待抢救的病人只能等死。

此外，除了勒索病毒，木马病毒也具有巨大杀伤力，木马病毒植入最具代表性的案例，当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。该病毒在石化行业也同样能造成严重的后果，我们再回顾下该病毒的攻击手段：

• 无形植入：通过感染所有潜在工作者的U盘，病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测，但这种病毒根本查不出来。病毒悄悄嵌入系统，使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘，木马就修改扫描命令并返回一个正常的扫描结果！
• 感染传播：利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒，8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。
• 动态隐藏：把所需的代码存放在虚拟文件中，重写系统的API（应用程序接口）以将自己藏入，每当系统有程序访问这些API时就会将病毒代码调入内存。
• 内存运行：病毒会在内存中运行时自动判断CPU负载情况，只在轻载时运行，以避免系统速度表现异常而被发现。关机后代码消失，开机病毒重启。
• 精选目标：如果网络中有西门子S7-315和S7-417两个型号的PLC（可编程逻辑控制器），病毒就把它们作为目标。如果网内没有这两种PLC，病毒就潜伏。如找到目标，病毒利用Step 7软件中漏洞突破后台权限，并感染数据库，于是所有使用该软件连接数据库的人的电脑和U盘都被感染，他们都变成了病毒输送者。
• 巧妙攻击：在难以察觉中，病毒对其选中的目标进行破坏，导致设备大量损坏，造成严重的后果。

剑上涂毒，见血封喉；伪装潜伏，择机爆发。这是“毒剑”的显著特点。

由此可见，软件的漏洞让诸如病毒变得无比狡猾，且让病毒攻击变得很有针对性。谁能说在我国某地或某企业的内网中，一定没有类似病毒存在呢？

3.3

【 软件后门之“阴剑” 】

目前国内在用的工业软件中，国外的软件市场占有量还是居高不下。这些软件多数为美、欧、日等西方发达国家开发，并且绝大多数对中国客户不开放源代码，特别是近年来这些软件又都融合了互联网技术。

根据多年来在企业调研和在市场上观察到的种种现象，在泄露商业机密的案例中，除了国外黑客网络攻击和病毒植入之外，国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况：

一是软件原厂商为了改进产品质量，对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据，找出用户的使用习惯和操作不便之处，以便在后期版本中改进软件功能。这种收集数据的出发点是善意的，通常也用“是否愿意加入产品的改进计划”的名义问询用户的意愿。

二是完全出于某种其他非法的目的，特定设计的软件“后门”。如果安装使用软件的电脑是联网的，那么某些“厂商所需数据”就在以某种触发机制（如按照累积量）随机或定时发送。如果电脑是不联网（如物理隔绝）的，那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过，用户可能知道，也可能不知道，即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码，通常很难查出这种后门发送数据的代码处于软件中的位置。

阴损之剑，杀人无形；每日一剑，伤皮放血。这是“阴剑”的显著特点。

企业里的各种杀毒软件，对软件后门是发现不了的，因为软件后门并非病毒，而是前门紧闭，后门洞开，开门揖盗。长此以往，情况就会变得严重。国外软件厂商（和情报部门）甚至能对企业的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚，即使在服务器物理隔绝的状态下，有些数据仍可能外泄。

3.4

【 为钱卖钥之“鬼剑” 】

家有内鬼，鬼必作祟；“鬼剑”刺处，机失难追。这是“鬼剑”的显著特点。

再好、再严密的设备防御措施，也禁不住内鬼为钱卖钥，贪财解锁。其实，无论多么严密的设备上网防护措施，多么完美的加密算法，当人心有鬼时，防护都可以破解。最可靠的加密钥匙，是人心、制度和法律。

乱世用重典，如果一遇到就重判，可能未来鲜有人敢做此事。看来，与石化行业信息化发展相适应的法律条款，仍然在不断完善和修订的路上。

这次以色列最大炼油厂遭遇APT攻击导致全球宕机的事件为我们国内石化行业敲响了警钟，石化行业是关乎国家经济发展和基础设施运行的关键行业，因此它成为了网络攻击者的主要目标。APT攻击的出现意味着攻击者不仅仅是进行一次性的入侵，而是通过持久性的方式进行渗透并窃取重要的机密信息。这种攻击对石化行业的系统、数据和运营稳定性构成了巨大的威胁。

四

石化行业如何应对危机？

为了应对加速来袭的网络安全危机，石化行业需要采取紧急措施。首先，加强网络安全意识，提高员工对网络威胁的认识和防范能力。其次，建立灵活的网络架构，提高网络的弹性和可恢复性，以减少可能的破坏和损失，结合建设安全防护技术体系及时发现和阻止潜在的攻击。。此外，企业应建立完善的管理制度体系，并制定紧急响应计划，确保在遭受攻击时能够迅速响应、隔离威胁和修复系统。

图：石油化工行业典型网络安全防护解决方案示意图

石化行业网络安全是当前亟待解决的重要问题，而以色列最大炼油厂遭遇APT攻击的事件更加凸显了这个危机的紧迫性。只有通过全面的网络安全建设，才能应对这一威胁，保障石化行业的信息安全和持续稳定运行！！！

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：全球业务宕机！以色列最大炼油厂遭网络攻击