2019全球工控安全大事记(6)

7月25号，南非约翰内斯堡City Power 电力公司遭勒索软件攻击，导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。

该公司数据库、网络、应用程序等，遭勒索软件加密而无法运作。这也导致客户无法透过网站买电、卖电、上传发票及存取公司网站。虽然电厂紧急调派人力，但雪上加霜的是，电厂的派工维修系统也无法运作，让停电修复的作业受到影响，造成用户抱怨电厂没有备援机组，而不能在这段期间取代供电，断电时间长达12小时。

图表 15 CityPowerJhb官方Twitter账号公布的信息

2019年8月

>>我国部分医疗电力系统遭勒索软件攻击

腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播，监测数据表明，已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现，该病毒的破坏仅在部分有限的情况可解密恢复，但在病毒按预期运行，基础设施完善情况下，暂无法解密。

Ouroboros勒索病毒首次出现于2019年8月中旬，目前发现其主要通过垃圾邮件渠道传播，由于其PDB路径中包含Ouroboros故因此得名，该病毒加密文件后会添加 .Lazarus扩展后缀。

2019年9月

>>印度核电公司遭受朝鲜黑客攻击

新闻社IANS  9月初的报道称，Kudankulam核电站的两个反应堆之一已中止运行，恶意软件Dtrack的变体感染了核电站的管理网络，可能包括窃取设施的键盘记录、检索浏览器历史记录，以及列出正在运行的进程等，并不确定是否应能想到用于控制核反应堆的关键内网。

该核电站主要由俄罗斯设计和提供反应堆机组，为印度南部电网提供电力。这座核电厂已成为印俄最大的合作项目之一。

图表 16 印度库丹库拉姆核电站

Pukhraj Singh是一名印度的威胁情报分析师。据他透露，9月4日以前，第三方机构发现针对印度核电厂的网络攻击活动，并告知了他，于9月4日通报了英国NCSC机构，并在9月7日对外提起了此事件

图表 17 Pukhraj Singh披露印度核电站事故

10月28日，某Twitter用户披露了一个名为DTrack的病毒样本，并且指出其内嵌了疑似与印度核电厂相关的用户名KKNPP，随后引发热议。

10月29日，各大新闻媒体公开披露该事件，并且印度安全人员对历史情况进行一些解释和说明，并且披露攻击者已经获取核电厂内部域控级别的访问权限。

最初，核电站方面否认他们遭受了任何恶意软件感染，发表声明将这些推文描述为“虚假信息”。

10月30日，这一被官方称之为“虚假消息”的事件却被自己推翻。他们在另一份声明中承认核电站确实感染了黑客组织创建的恶意软件，该软件由黑客组织Lazarus Group开发，属于Dtrack后门木马的变体。

但是，核电站方面也强调，朝鲜恶意软件仅感染了其管理网络，但未到达其关键的内部网络，这些内部网络用于控制发电厂的核反应堆。言外之意，朝鲜攻击并非造成核反应堆“停工”的原因。

韩国Issue Makers Lab的研究人员说，攻击者为来自朝鲜的Kimsuky组织，并透露称，攻击印度核能部门的一名黑客正在使用仅在朝鲜生产和使用的朝鲜自有品牌的计算机。一名黑客使用的IP来自朝鲜的平壤。而朝鲜黑客知道印度工厂的IP网络。他们渗透到了工厂内部，但没有发送破坏性代码。

Issue Maker Lab发现，黑客使用的计算机是在朝鲜生产且仅在朝鲜使用的型号。这帮助他们获得了机器的MAC地址以及IP地址的详细信息。两者都带有朝鲜签名。他们的调查还发现，恶意软件代码中使用了朝鲜语。

美国《原子科学家公报》日前报道，虽然库丹库拉姆核电站反应堆运行没有受到影响，但这一事件再次发出警告，人类社会两个最大的安全风险，即网络攻击与核威慑，正在发生危险的“碰撞”，其严重后果，完全可能演变为无法控制的人祸。

>>英国大范围停电事件

路透社报道，9月9日晚高峰，英国遭遇大范围停电，地铁停运、机场瘫痪、交通信号灯熄灭，一些医院甚至备用发电机熄火。按照英国交通警察的说法，这次停电及其造成的影响“史无前例”。

英国英格兰、威尔士等地区遭遇停电，首都伦敦多个区域未能幸免。虽然停电时长最多1个小时，但是停电造成的“混乱状况”预期会持续一整天。

停电恰逢周五晚，英国媒体说“这是一周中最繁忙的时段之一”，大量民众刚刚结束一周的工作，搭乘地铁、城际列车或飞机回家度周末。

英国这次停电规模较大，暂不清楚总共多少民众受影响。西部电力公司估算，这家电企的大约50万名用户受停电影响。北部电力公司说，这家电企的大约11万名用户遭遇停电，东北部城市纽卡斯尔的机场和地铁运行受影响。

英国国家电力公司披露，当天停电与两台发电机出现故障相关，故障已经排除。

>>伊朗石油和金融设施遭受大范围攻击