印度7成电网瘫痪引发的网络安全有感

我们先看下两则新闻快讯：

【大公报讯】综合新华社、《印度时报》报道：巴基斯坦三军新闻局10日发布公告称，巴军方在当天对印度展开的军事行动中，“已通过网络攻击使印度70%的电网瘫痪”。但印度方面对该消息予以否认。网络安全专家认为，虽然瘫痪程度有待进一步验证，但通过网络攻击导致电力系统发生连锁反应，最终瘫痪电网的可能性确实存在。与此同时，印度媒体早前披露，该国多地出现停电的异常情况。

　　《印度时报》在5日一篇报道中表示，来自巴基斯坦的网络攻击进一步增加，巴基斯坦黑客也声称从印度军事工程服务（MES）以及其他部门获得了“敏感数据”。《印度快报》10日报道称，9日晚间，印度斯利那加机场区、查谟和克什米尔的桑巴等地方都听到了爆炸声，边境地区也出现停电。《印度时报》10日的报道中提及，旁遮普邦、拉贾斯坦邦和古吉拉特邦“实施了夜间停电等措施”。

因为我们要对这个事情进一步分析那么我们就盘点下全球十大电网网络安全攻击事件：

一、巴西电力公司遭Sodinokibi勒索软件攻击

2020年6月，巴西的电力公司Light S.A被黑客勒索1400万美元的赎金，AppGate的安全研究人员分析认为是Sodinokibi勒索软件。Sodinokibi可在RaaS（勒索软件即服务）模式下使用，它可能由与Pinchy Spider（即GandCrab勒索软件背后的组织）有联系的威胁者操纵。同时，研究人员还发现该软件可以通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外，该勒索软件系列没有全局解密器，这意味着需要攻击者的私钥才能解密文件。

二、欧洲能源巨头EDP公司遭勒索软件攻击

2020年4月，葡萄牙跨国能源公司（天然气和电力）EDP（Energias de Portugal）遭Ragnar Locker勒索软件攻击，赎金高达1090万美金。攻击者声称已经获取了公司10TB的敏感数据文件，如果EDP不支付赎金，那么他们将公开泄露这些数据。根据EDP加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。目前针对Ragnar Locker勒索软件加密文件尚无法解密。

三、印度核电站内网感染恶意软件

2019年9月，印度核电公司（the Nuclear Power Corporation of India Ltd，简称NPCIL）证实，印度泰米尔纳德邦的Kudankulam核电站（简称KNPP）内网感染了恶意软件。据了解，该软件由知名朝鲜黑客组织Lazarus开发，属于Dtrack后门木马的变体。NPCIL的声明显示，Dtrack变体仅仅感染了核电站的管理网络，并未影响到用于控制核反应堆的关键内网。有报道指出，就在几天前，该核电站意外关闭了一座反应堆。虽然有关机构极力否认该事件和恶意软件的入侵有关，但时间上的巧合仍然让人不可避免地将二者联系在一起。

四、乌克兰某核电厂发生重大网络安全事故

2019年7月，位于乌克兰南部的Yuzh-noukrainsk市附近的核电站出现严重安全事故，数名雇员将核电厂内部网络连上了公共网络，以供其挖掘加密货币。此次事故被列为国家机密泄露事故，调查人员已经开始研究黑客是否可利用联网设备入侵核电厂内网，并窃取机密信息。

五、委内瑞拉电力系统两年内遭遇多次网络攻击导致大规模停电事故

• 2019年3月7日-3月9日，连续三天，委内瑞拉电力系统遭到网络攻击出现3次大范围停电事件，全国大部分州都受到了影响。委政府官员指出，停电原因是古里水电站遭反对派蓄意破坏。

• 2019年7月，委内瑞拉首都加拉加斯及10余个州再发生大范围停电，地区供水和通信网络也因此受到极大影响。停电原因与2019年3月的相同。

• 2020年3月，委内瑞拉遭受严重停电，影响多个州和城市，导致互联网连接中断。

• 2020年5月，委内瑞拉国家电网765干线遭攻击，造成全国大面积停电。除首都加拉加斯外，全国11个州均发生停电。

六、南非约翰内斯堡电力公司遭勒索软件攻击

2019年7月，南非最大的城市约翰内斯堡发生了一起针对City Power电力公司的勒索软件攻击，导致若干居民区的电力中断。该病毒加密了所有数据库、应用程序、Web Apps、以及官方网站。攻击使得预付费用户无法买电、充值、办理发票，或访问City Power的官方网站。根据网络攻击的类型和严重程度，受影响的服务和网络的完全清理大概需要数周时间。

七、黑客利用思科防火墙中的已知漏洞针对美国电力公司发起拒绝服务 (DoS) 攻击

2019年3月，黑客利用思科防火墙中的已知漏洞针对美国犹他州的可再生能源电力公司发起了拒绝服务 (DoS) 攻击。事件影响了加利福尼亚州（克恩县和洛杉矶县）、犹他州（盐湖县）和怀俄明州（Converse County）。北美电力可靠性公司（NERC）在9月表示，该安全漏洞影响了受害者使用的防火墙的Web界面，攻击者在这些设备上触发了DoS条件，导致它们重新启动。这导致该组织的控制中心和其各个站点的现场设备之间的通信中断。

八、法国公司Ingerop遭网络攻击导致费森海姆核电站（Fessenheim）敏感数据泄露

2018年6月，黑客窃取了法国公司Ingerop逾65G文件，这些文件包括核电站计划和千余名Ingerop工作人员的个人信息等内容。部分文件与法国最早的核电站费森海姆核电站（Fessenheim）相关，该核电站位于德国边境，将于2022年关闭。若此类数据落入恶人之手，将把该核电站及公司员工置于恐怖主义阴谋等诸多威胁之下。

九、西门子设备存在严重漏洞，导致变电站易遭攻击

2018年3月，研究人员发现西门子继电保护设备存在多个严重漏洞，可导致变电站和其它供电设施易遭黑客攻击。

• 高危漏洞 CVE-2018-4840可导致远程未经认证的攻击者修改设备配置并覆写访问密码。

• 中危漏洞 CVE-2018-4839可导致本地或网络攻击者通过拦截网络流量或从目标设备获取数据的方式恢复访问授权密码。

• 高危漏洞 CVE-2018-4838可导致未经认证的攻击者把设备上的固件降级为包含已知缺陷的版本。

十、俄黑客对美国核电站和供水设施攻击事件

2018年3月，美国计算机应急准备小组发布了一则安全通告TA18-074A，详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。

通告称俄黑客组织通过

（1）收集目标相关的互联网信息和使用的开源系统的源代码；

（2）盗用合法账号发送鱼叉式钓鱼电子邮件；

（3）在受信任网站插入JavaScrip或PHP代码进行水坑攻击；

（4）利用钓鱼邮件和水坑攻击收集用户登录凭证信息；

（5）构建基于操作系统和工业控制系统的攻击代码发起攻击。

本次攻击的主要目的是以收集情报为主，攻击者植入了收集信息的程序，该程序捕获屏幕截图，记录有关计算机的详细信息，并在该计算机上保存有关用户的信息。

1.  电网内部网络威胁

尽管电网通常是物理隔离的网络，设计目的是将其与公共互联网分离以减少网络攻击的风险，但它仍然面临多种潜在威胁。

（1）内部恶意员工

如不满的员工或被收买的工作人员，可以利用其合法访问权限对电网系统进行恶意操作，导致系统故障或数据泄露。

（2）外部供应商人员

黑客组织通过收买或威胁电网供应商人员，利用安装、运维电网时植入木马/病毒，或者搭建外联通道破坏电网。

（3）内部员工失误操作

内部人员的操作失误也可能导致严重的安全漏洞。例如，错误配置设备、意外连接互联网、插入USB、错误处理软件补丁等。

（4）供应链攻击

攻击者可以通过供应链进行攻击。电网使用的硬件或软件可能在生产、运输或安装过程中被植入恶意代码或后门。

（5）无线网络攻击

智能电网可能使用无线传感器进行监控和数据传输，这些传感器如果被破解，攻击者可以通过它们进入电网系统。

（6）近源攻击

黑客组织通过内部人员获取变电站、发电站等详细信息之后，安排人员潜入这些场所进行网络攻击。

2.电网外部网络威胁

电网通过互联网为员工和用户提供的互联网服务，也是黑客组织的重点攻击目标，一是破坏电网的互联网服务，二是获取电网员工和用户的个人身份信息。通过此类方法，扰乱所在国的正常经济和社会秩序，严重可导致社会恐慌和动荡。

（1）拒绝服务攻击

拒绝服务攻击通过向目标系统发送大量请求，使其无法处理正常的用户请求，导致系统瘫痪。

DDoS攻击：攻击者通过控制大量受感染的设备（僵尸网络），向电网提供的互联网服务发起大规模DDoS攻击，导致服务中断。

应用层攻击：攻击者针对特定应用服务（如网站登录页面、API接口）发起高频请求，消耗系统资源。

（2）API攻击

电网提供的互联网服务通常包括各种API接口，API攻击通过滥用这些接口进行数据盗取或系统破坏。

注入攻击：通过输入恶意数据（如SQL注入、XML注入）攻击API接口，获取未经授权的访问。

拒绝服务：向API接口发送大量请求，导致系统资源耗尽。

（3）Web应用漏洞

电网的互联网服务可能包含各种Web应用，Web应用漏洞也是常见的攻击目标。

跨站脚本攻击（XSS）：通过向Web应用注入恶意脚本，攻击者可以劫持用户会话或盗取敏感信息。

跨站请求伪造（CSRF）：通过诱骗用户执行未经授权的操作，攻击者可以利用用户的身份进行恶意操作。

（4）供应链攻击

供应链攻击是指攻击者通过供应链中的某个环节进行攻击，影响整个系统的安全。

第三方服务：电网公司可能使用第三方服务或软件，这些第三方服务如果被攻击，可能影响到电网系统的安全。

软件更新：攻击者可以通过篡改合法的软件更新包，向电网系统推送恶意软件。

（5）网络钓鱼

网络钓鱼攻击是指攻击者通过伪装成合法机构，诱骗受害者提供敏感信息（如登录凭证、财务信息等）。电网员工和用户可能会成为此类攻击的目标。

电子邮件钓鱼：攻击者发送伪装成来自电网公司或其他可信机构的邮件，诱骗受害者点击恶意链接或下载附件。

仿冒网站：攻击者创建与电网公司官网相似的钓鱼网站，诱骗用户输入登录信息或其他敏感数据。

（6）业务推广时泄露用户信息

与第三方商家合作时，第三方商家获取用户个人信息之后进行售卖，很多个人电商卖家在经营正常业务时，也从事着黑灰产业链的生意，这是需要值得警惕的。

新型电力系统和数字电网的发展呈现以下特性：

（1）分布式能源：随着清洁能源和分布式能源的广泛接入，电网结构更加复杂，能源供应和调配也呈现出动态化和实时化的特点。

（2）海量设备接入：物联网设备、大规模传感器和智能终端等设备大量接入电网，极大地提升了数据采集和监控能力，同时也带来了更大的网络攻击面。

（3）新兴技术应用：云计算、边缘计算、人工智能等新技术逐渐成为电网管理和优化的核心工具，提升了电力系统的智能化和自动化水平，但也引入了更多潜在的安全漏洞。

（4）供应链开放：电力行业的数字化转型促进了供应链的多元化和开放性，涉及到更多的合作伙伴和第三方设备，增加了供应链安全风险。

（5）网络路径复杂：电网数据和控制系统的分布日益复杂，涉及跨地域、跨平台的多种通信协议和网络路径，这使得网络攻击的路径更为多样，检测和防御难度增加。