原創(chuàng)作者 | 何躍鷹，孫中豪

石油天然氣行業(yè)作為重要的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，關(guān)系國計(jì)民生命脈，但也正面臨著越來越多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文盡可能完整地搜集整理了近年來發(fā)生在石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件，通過時(shí)間順序、地域分布、被攻擊系統(tǒng)和攻擊手段等方式分類，一方面是期望能一定程度的提升行業(yè)參與者的網(wǎng)絡(luò)安全意識，另一方面是期望以編年體的方式呈現(xiàn)行業(yè)網(wǎng)絡(luò)攻擊的演化規(guī)律。

通過對所搜集的21起石油天然氣行業(yè)網(wǎng)絡(luò)安全事件的分析，至少有以下三點(diǎn)結(jié)論是可以確定的：

一、和平時(shí)期面向石油天然氣行業(yè)的網(wǎng)絡(luò)攻擊以勒索軟件為主，但國家對抗?fàn)顟B(tài)下拒絕服務(wù)攻擊明顯增多。在全部21起攻擊中，勒索軟件占到8起。在俄烏沖突爆發(fā)的2022年，統(tǒng)計(jì)到的6起石油行業(yè)網(wǎng)絡(luò)安全事件全部發(fā)生在歐洲;2022年之外的其他年份，在發(fā)生15起針對石油天然氣行業(yè)的網(wǎng)絡(luò)安全事件中，歐洲只占到4起。黑客組織明確聲明因政治軍事因素發(fā)動(dòng)的網(wǎng)絡(luò)攻擊一共6起，都是拒絕服務(wù)或者數(shù)據(jù)竊取，反而沒有一個(gè)是勒索攻擊。

二、被攻擊系統(tǒng)涵蓋行業(yè)上下游各個(gè)環(huán)節(jié)，但以直接面向用戶的系統(tǒng)居多。在所有的統(tǒng)計(jì)中，被攻擊系統(tǒng)包括了網(wǎng)站、加油站、煉油產(chǎn)、石油管道、SIS系統(tǒng)、SCADA、云服務(wù)、辦公系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、油輪、石油港口設(shè)備、數(shù)據(jù)中心、APP等。但是針對加油站、網(wǎng)站、IT服務(wù)等直接面向用戶的系統(tǒng)攻擊占到了67%。

三、一旦網(wǎng)絡(luò)攻擊影響到正常業(yè)務(wù)開展，影響范圍和影響程度將超出企業(yè)控制。例如，2021年5月，美國最大的成品油管道系統(tǒng)科洛尼爾管道(Colonial Pipeline)遭到攻擊，迫使該公司關(guān)閉了5500英里長的管道，美國汽油期貨上漲一度超4%。2023年12月，黑客攻擊導(dǎo)致伊朗全國70%的加油站服務(wù)中斷，這次網(wǎng)絡(luò)攻擊對首都德黑蘭造成了重大影響。

附表：近年來石油天然氣行業(yè)網(wǎng)絡(luò)安全時(shí)間匯總

2017年5月，WannaCry 勒索病毒全球大爆發(fā)，至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問題。其中包括巴西國有石油公司Petrobras和西班牙天然氣公司。據(jù)報(bào)道，這兩家公司關(guān)閉了計(jì)算機(jī)作為應(yīng)對網(wǎng)絡(luò)攻擊的措施。國內(nèi)也有中石油加油站遭到攻擊，其支付系統(tǒng)被攻擊后顧客被迫通過現(xiàn)金支付。

2017年12月，全球最大的石油公司沙特阿美遭到TRITON病毒攻擊而導(dǎo)致安全儀表系統(tǒng)被迫關(guān)閉。這種名為TRITON(也被稱為trisis或Hatman)的病毒，利用了施耐德電氣的關(guān)鍵安全系統(tǒng)之一Triconex的漏洞，是全球首個(gè)面向工控安全儀表系統(tǒng)的病毒，通過與SIS系統(tǒng)的直接通信交互，超越了其他工業(yè)網(wǎng)絡(luò)攻擊。SIS系統(tǒng)是工業(yè)設(shè)施自動(dòng)化安全防護(hù)的最后一道防線，該系統(tǒng)旨在防止設(shè)備故障和爆炸或火災(zāi)等災(zāi)難性事件。Triton可對安全儀表系統(tǒng)邏輯進(jìn)行重編輯，使安全儀表系統(tǒng)產(chǎn)生意外動(dòng)作，對正常生產(chǎn)活動(dòng)造成影響;可使安全儀表系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險(xiǎn)時(shí)無法及時(shí)實(shí)行和啟動(dòng)安全保護(hù)機(jī)制，從而對生產(chǎn)活動(dòng)造成影響;還可以對DCS實(shí)施攻擊，并通過安全儀表系統(tǒng)與DCS的聯(lián)合作用，對工業(yè)設(shè)備、生產(chǎn)活動(dòng)及人員健康造成影響。

2020年1月，烏克蘭能源勘探生產(chǎn)公司 Burisma Holdings遭到定向釣魚攻擊。Burisma Holdings 是一家位于烏克蘭基輔的能源勘探和生產(chǎn)公司。在 2019 年 11 月初開始的定向網(wǎng)絡(luò)釣魚攻擊中，攻擊者通過竊取 Burisma Holdings 及其下屬子公司和合作伙伴公司員工的電子郵件憑證，利用電子郵件賬戶中的數(shù)據(jù)以及操作權(quán)限進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。為了確保了釣魚活動(dòng)的成功，攻擊者將使用的木馬偽裝成 Burisma Holdings 常用業(yè)務(wù)相關(guān)應(yīng)用程序，以迷惑 Burisma Holdings 員工。對這場針對 Burisma Holdings 的攻擊活動(dòng)的戰(zhàn)術(shù)、技術(shù)和過程(TTP)進(jìn)行分析發(fā)現(xiàn)，攻擊者專注于仿冒憑據(jù)，主要在 Ititch、NameSilo、namebeach 和 Yandex 注冊惡意域名。

2020年4月，Agent Tesla間諜軟件被用于針對能源行業(yè)的魚叉攻擊。攻擊者利用精心偽造的電子郵件投遞 Agent Tesla 間諜軟件。Agent Tesla 間諜軟件自 2014 年以來不斷改進(jìn)和更新，可通過公開渠道購買。3 月 31 日，攻擊者以埃及國有石油公司 Enppi 之名發(fā)送電子郵件，郵件中邀請收件方為某真實(shí)存在的項(xiàng)目設(shè)備和材料投標(biāo)，并標(biāo)明投標(biāo)截止日期。對了解該項(xiàng)目的石油和天然氣行業(yè)人士而言，極易被引誘打開郵件中用于投遞 Agent Tesla 間諜軟件的惡意附件，該間諜軟件會(huì)收集各種類型的憑據(jù)等敏感信息，受害國家包括馬來西亞，伊朗和美國。第二次攻擊發(fā)生在 4 月 12 日，攻擊者以某油輪之名向收件人索要預(yù)估港口使用費(fèi)等信息，該油輪真實(shí)存在，受害者大部分為菲律賓的貨運(yùn)公司。

2020年4月，葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟件攻擊，攻擊者索要1580比特幣贖金(折合約1090萬美元/990萬歐元)。在這次攻擊過程中，Ragnar Locker勒索軟件的幕后黑手聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件，如果EDP不支付贖金，那么他們將在公開泄露這些數(shù)據(jù)。根據(jù)EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息。

2020年6月，全球最大的石油和天然氣公司之一雪佛龍公司(Chevron Corporation)遭到Ekans 勒索軟件攻擊，雖然攻擊細(xì)節(jié)并未公開，但據(jù)信攻擊者通過利用VPN 軟件中的漏洞獲取了雪佛龍的系統(tǒng)訪問權(quán)限。EKANS是一種用Go編程語言編寫的混淆勒索軟件變體，攻擊目標(biāo)已經(jīng)覆蓋了能源(巴林石油、ENEL能源)、汽車制造(本田汽車)、醫(yī)療設(shè)備經(jīng)銷等多個(gè)工業(yè)行業(yè)，打擊工業(yè)控制系統(tǒng)已成為其重要目的。

2021年3月，能源巨頭殼牌公司(Shell)遭遇黑客攻擊，導(dǎo)致數(shù)據(jù)泄露。攻擊者利用安全廠商Accellion的文件傳輸程序FTA的零日漏洞，訪問了一些個(gè)人數(shù)據(jù)以及屬于殼牌利益相關(guān)方和子公司的數(shù)據(jù)。殼牌公司使用FTA來“安全地”傳輸大文件。該公司在網(wǎng)站上發(fā)表的一份公開聲明中披露了這起攻擊事件，并表示這起事件只影響了Accellion FTA設(shè)備，該設(shè)備用于安全傳輸大數(shù)據(jù)文件?！坝捎谖募鬏敺?wù)與殼牌數(shù)字基礎(chǔ)設(shè)施的其他部分是隔離的，因此沒有證據(jù)表明殼牌的核心IT系統(tǒng)受到任何影響。”

2021年4月，美國新英格蘭最大的能源供應(yīng)商-Eversource遭遇數(shù)據(jù)泄露。Eversource擁有超過6,459英里的天然氣管道。此前客戶的個(gè)人信息在一個(gè)不安全的云服務(wù)器上被曝光。Eversource向客戶發(fā)出警告，一個(gè)不安全的云存儲(chǔ)服務(wù)器暴露了他們的姓名、地址、電話號碼、社會(huì)安全號碼、服務(wù)地址和帳戶號碼。該問題源自Eversource在3月16日進(jìn)行的一次安全檢查，他們發(fā)現(xiàn)一個(gè)“云數(shù)據(jù)存儲(chǔ)文件夾”配置錯(cuò)誤，導(dǎo)致任何人都可以訪問其中的內(nèi)容。

2021年5月，美國最大的成品油管道系統(tǒng)：科洛尼爾管道(Colonial Pipeline)遭到名為Darkside的黑客組織的勒索攻擊。Darkside入侵科洛尼爾管道運(yùn)輸公司的網(wǎng)絡(luò)后，獲取了大量數(shù)據(jù)，并以此威脅要求440萬美元贖金，迫使該公司關(guān)閉了5500英里長的管道，并且關(guān)閉某些系統(tǒng)以便避免繼續(xù)遭受攻擊。受到成品油管道關(guān)閉的消息影響，國際油價(jià)一度波動(dòng)加劇，美國汽油期貨上漲一度超4%。Colonial Pipeline 公司作為美國最大的燃油/管道商，發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事件后，進(jìn)行了快速的應(yīng)急響應(yīng)處理，通過相應(yīng)措施避免二次損害，但是仍然可以看出該公司的 IT 和 OT 網(wǎng)絡(luò)沒有絕對隔離是導(dǎo)致事件危害規(guī)模巨大的主要因素。

2022年1月，黑客攻擊歐洲港口石油設(shè)施，因遭到勒索軟件的攻擊，位于荷蘭阿姆斯特丹和鹿特丹、比利時(shí)安特衛(wèi)普的幾處港口的石油裝卸和轉(zhuǎn)運(yùn)受阻。截至當(dāng)?shù)貢r(shí)間2月4日，至少有7艘油輪被迫在安特衛(wèi)普港外等候，無法靠港，油價(jià)已飆至7年新高。

2022年3月，國際黑客組織“匿名者”(Anonymous)聲稱入侵了俄羅斯能源巨頭——俄羅斯石油公司位于德國的分公司Rosneft Deutschland GmbH，并從中竊取了 20 TB 的數(shù)據(jù)，盡管該公司的系統(tǒng)受到了影響，但公司的業(yè)務(wù)或供應(yīng)狀況暫未受到影響。Rosneft Deutschland GmbH在過去三年中負(fù)責(zé)向德國進(jìn)口約四分之一的原油。黑客團(tuán)體表示攻擊的起因源于俄羅斯對烏克蘭的入侵，以及對該公司的運(yùn)作、德國前總理格哈德·施羅德與普京的關(guān)系感到不滿。

2022年3月，東歐大型加油站服務(wù)商Rompetrol遭到Hive勒索軟件攻擊，影響到了公司大部分IT服務(wù)，官網(wǎng)、APP全部下線，顧客只能使用現(xiàn)金和刷卡支付。據(jù)悉，攻擊者還入侵了Petromdia煉油廠的內(nèi)部IT網(wǎng)絡(luò)，但運(yùn)營未受到影響。

2022年4月，俄羅斯國家天然氣公司Gazprom的石油部門Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉。該網(wǎng)站上有一份來自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明，這份聲明中對俄羅斯向?yàn)蹩颂m派遣數(shù)千名士兵的決定發(fā)表了批評言論，隨后該網(wǎng)站就被迫停止運(yùn)營。

2022年7月，立陶宛能源公司Ignitis Group遭受了十年來最大的網(wǎng)絡(luò)攻擊，大量分布式拒絕服務(wù)(DDoS)攻擊破壞了其數(shù)字服務(wù)和網(wǎng)站。隨后，親俄羅斯的黑客組織Killnet在其Telegram頻道表示對此次攻擊負(fù)責(zé)，這也是該組織在立陶宛發(fā)起的一系列攻擊中的最新一次，原因是該國在與俄羅斯的戰(zhàn)爭中支持烏克蘭。

2022年7月，勒索軟件組織ALPHV聲稱對盧森堡天然氣管道和電力網(wǎng)絡(luò)運(yùn)營商Creos 遭受的網(wǎng)絡(luò)攻擊負(fù)責(zé)。Creos的母公司Encevo在五個(gè)歐盟國家經(jīng)營能源業(yè)務(wù)，該公司于7月25日宣布，他們在7月22日至23日遭受了網(wǎng)絡(luò)攻擊。雖然網(wǎng)絡(luò)攻擊導(dǎo)致Encevo和Creos的客戶門戶站點(diǎn)不可用，但所提供的服務(wù)并未中斷。

2023年6月，加拿大石油巨頭被黑影響全國加油站：支付或癱瘓，僅支持現(xiàn)金。加拿大石油公司(Petro-Canada)位于全國各地的加油站受到技術(shù)故障影響，客戶無法使用信用卡或獎(jiǎng)勵(lì)積分支付油費(fèi)。故障原因是母公司森科能源遭遇網(wǎng)絡(luò)攻擊。森科能源表示已采取措施應(yīng)對此次攻擊，并通報(bào)有關(guān)部門。在事件解決之前，公司與客戶和供應(yīng)商的交易將受到負(fù)面影響。

2023年8月，以色列最大煉油廠遭黑客攻擊網(wǎng)站無法訪問。以色列最大的煉油廠運(yùn)營商BAZAN集團(tuán)的網(wǎng)站在世界大部分地區(qū)無法訪問，攻擊者聲稱黑掉了該集團(tuán)的網(wǎng)絡(luò)系統(tǒng)。伊朗黑客宣稱在周末攻擊了BAZAN的網(wǎng)絡(luò)，并泄露了BAZAN的SCADA系統(tǒng)的屏幕截圖，這些系統(tǒng)用于監(jiān)控和操作工業(yè)控制系統(tǒng)，其中包括“火炬氣回收裝置”、“胺再生”系統(tǒng)、石化“分流器部分”的圖表和PLC代碼。

2023年8月，俄羅斯黑客組織襲擊烏克蘭，致200多家加油站深夜癱瘓。KillNet黑客組織自豪地聲稱對烏克蘭三大加油站網(wǎng)絡(luò)的網(wǎng)站遭受的有針對性的網(wǎng)絡(luò)攻擊負(fù)責(zé)。據(jù)稱其對200個(gè)加油站進(jìn)行了網(wǎng)絡(luò)攻擊并導(dǎo)致了癱瘓。這些加油站網(wǎng)絡(luò)攻擊再次加劇了俄羅斯和烏克蘭之間持續(xù)的數(shù)字沖突。

2023年11月，勒索軟件組織BlackCat(ALPHV)將臺灣中國石油化學(xué)工業(yè)開發(fā)股份有限公司(中石化、CPDC)添加到其Tor泄露網(wǎng)站的受害者名單中。該泄露涉及的數(shù)據(jù)大小為41.9GB。

2023年12月，黑客攻擊導(dǎo)致伊朗全國加油站業(yè)務(wù)中斷。據(jù)路透社報(bào)道，網(wǎng)絡(luò)攻擊造成了伊朗全國范圍內(nèi)的加油站業(yè)務(wù)中斷，導(dǎo)致伊朗全國70%的加油站服務(wù)中斷。這次網(wǎng)絡(luò)攻擊對首都德黑蘭造成了重大影響，許多加油站被迫手動(dòng)操作，親以色列的黑客組織“Predatory Sparrow“(波斯語為Gonjeshke Darande)聲稱對此次攻擊負(fù)責(zé)。

2024年1月25日，烏克蘭國家石油天然氣公司(Naftogaz)當(dāng)天發(fā)布消息稱，該公司一個(gè)數(shù)據(jù)中心遭受了大規(guī)模網(wǎng)絡(luò)攻擊。公司網(wǎng)站和呼叫中心無法運(yùn)行。烏克蘭國有石油天然氣股份公司是烏克蘭最大的企業(yè)之一，歐洲市場上可靠的天然氣供應(yīng)商，也是國內(nèi)燃料和能源領(lǐng)域的龍頭企業(yè)，自1998年開始向居民、企業(yè)和國家機(jī)構(gòu)供應(yīng)天然氣和石油產(chǎn)品。

轉(zhuǎn)載來源：CNCERT國家工程研究中心