电力网络安全：专业视角下的行业江湖

    近年来，电力行业这个江湖遭遇了诸多网络攻击事件，成为了各方势力觊觎的目标。

（1）勒索软件攻击

    2024 年 1 月，法国施耐德电气遭受仙人掌勒索软件攻击，云平台中断服务，TB级数据泄露，能效及可持续顾问云平台部分功能受影响。（PS：施耐德电气是一家法国跨国公司，制造各类能源和自动化产品，包括大型商超出售的家用电器元件到企业级工业控制和建筑自动化产品，产品线极其广泛。）

    2023 年 6 月，德国西门子能源公司遭遇 CLOP 勒索软件攻击，该软件利用MOVEit Transfer平台的一个0day漏洞（CVE-2023-34362）窃取了该公司数据。事件脉络如下：

    意大利公司 Acea、欧洲电力网络运营商 Creos Luxembourg S.A.、巴西电力公司等都遭受过勒索软件攻击，勒索金额高昂，对电力供应和企业运营造成了严重影响。

（2）漏洞利用攻击

    2023 年 5 月，Security Affairs 网站消息，丹麦计算机安全事件响应小组（CSIRT）SektorCERT 披露，丹麦关键基础设施遭遇大规模网络攻击，攻击者利用 Zyxel 防火墙漏洞破坏了 22 家能源基础设施公司。整个攻击的网络杀伤链：

    2022 年 11 月，黑客利用 Boa Web Server 漏洞入侵印度电网。微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。微软最初发现这个易受攻击的组件，是在调查一起针对印度电网的入侵事件中。此前，美国威胁情报公司Recorded Future曾在2021年发布报告，详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。

    2019 年 3 月，黑客利用思科防火墙漏洞对美国犹他州可再生能源电力公司发起拒绝服务攻击。美国国家能源技术实验室的OE-417电力紧急情况和干扰报告（2019年第一季度）描述了这起网络事件导致的“电力系统运行中断”。

（3）数据泄露事件

    2023 年 11 月，美国爱达荷国家实验室遭受黑客组织攻击，黑客组织SiegedSec宣布已获得INL数据的访问权限，其中包括“数十万”员工、系统用户和公民的详细信息。

    2023 年 8 月，以色列核反应堆数据库在暗网论坛出售。黑客“WAIL_CRINAL”以900美元的相对较低价格请求访问属于以色列Neve Ne'eman核反应堆的数据库。“WAIL CRINAL”声称该数据集包括：官员和教授的全名及其居住地址的所有信息；10 GB 机密文件，包括实验中使用的组件和材料；反应堆的尺寸、水平和位置；用于登录的电子邮件、ip 和口令（ssh smtp 服务器）。

    2023 年 5 月，黑客在暗网论坛泄露从伊朗核电生产和开发公司窃取的电子邮件等，在违规论坛上泄露了从伊朗核电生产和开发公司 (AEOI)窃取的10万多封电子邮件。AEOI负责管理布什尔核电站(BNPP)并领导伊朗核燃料循环开发研究。AEOI的研究计划包括铀勘探、开采和转化。攻击者窃取了 75GB敏感的伊朗核数据。

（3）ATP 网络攻击

    2022 年 10 月，隶属于俄罗斯联邦武装力量总参谋部情报总局（GRU）的APT组织“沙虫”（Sandworm）2022年对乌克兰一处能源设施发动了复杂的攻击，导致暂时停电，随后乌克兰各地的关键基础设施遭到广泛的导弹袭击。曼迪昂特表示，此次攻击是破坏目标设施物理运行的网络事件的罕见事例，入侵活动还包括一种前所未见的破坏工业控制系统（ICS）和操作技术（OT）的技术。

（1）勒索攻击增多有转移云上的趋势

    全球范围内针对电力关键基础设施的勒索攻击呈爆发式增长，勒索攻击手段日益复杂，目标精准，技术升级。同时，随着电力企业业务上云，云上数据成为勒索攻击的新目标。

（2）数据安全隐患急剧增加

    新型电力系统的电网结构复杂，数据交互频繁，数据泄露和篡改风险加剧。多元主体的引入，使得数据共享与隐私保护矛盾凸显，以获取数据为目的的网络攻击递增。

（3）云基础设施成为主要攻击目标

    云平台在电力系统创新中作用重大，但也面临着诸多安全威胁，包括传统网络攻击和针对云平台基础设施的安全漏洞。

（4）定向攻击的专业程度高

    电网成为网络对抗和黑客定向攻击的目标，攻击方式隐蔽、范围广泛、手段丰富，出现了一些专门攻击电力工控网络的恶意软件。

（5）漏洞威胁成重点难点问题

    设备漏洞数量飙升，新型电力系统中设备漏洞也呈增长趋势，这些漏洞可能成为黑客攻击的跳板，给电力企业安全带来极大威胁。