2.3　国内外工业互联网典型攻击事件

除了已经深入报道过的针对工业控制系统的网络攻击，如2010年的伊朗“震网”病毒攻击事件外，据国内外公开报道的材料，具有工业互联网特点的典型攻击事件有：

• 2021年2月9日，俄罗斯卫星通讯社报道称，美国佛罗里达州西部城镇奥兹马市警方8日表示，一名黑客在2月5日试图通过过量释放一种有毒化学物质，侵害该市的供水系统。另外，供水工厂注意到有入侵者远程进入工厂控制系统，并将供应水中的氢氧化钠含量临时调高10倍以上，这种腐蚀性化合物即碱液，是一种常见的脱脂剂，也被少量用于该市的水处理中心以控制酸度。

• 2020年12月8日，知名网络安全公司FireEye发出声明：声称旗下数千名客户遭受了黑客袭击。这些攻击者尝试访问内部系统，搜寻政府客户的相关信息。尽管FireEye指出：并没有证据表明客户的数据被泄露，但是这次攻击还是突破了公司安全防御软件的防护。12月13日，美国财政部发出声明，旗下机构已经因为太阳风（SolarWinds）公司的软件遭受黑客攻击，后来美国国土安全局和商务部也表示其线上管理平台也遭遇类似的攻击。据当日海外媒体报告，某黑客组织掌控了美国财政部电子邮件系统进行间谍活动。知情人士称该黑客组织一直在监视美国财政部、商务部的内部电子邮件流量，并表示到目前为止发现的黑客攻击可能只是冰山一角。事态不断发酵，影响范围甚至扩散到核电站。此次SolarWinds攻击事件是一次非常典型的供应链攻击。

• 2020年5月，瑞士一家铁路机车制造商向外界披露，其近期遭受了网络攻击，攻击者设法渗透公司的IT网络，并用恶意软件感染了部分计算机，很可能已经窃取到部分数据。未知攻击者试图勒索该公司巨额赎金，否则将会公开所盗取的数据。

• 2020年4月13日，葡萄牙跨国能源巨头（天然气和电力）EDP（Energias de Portugal）遭到Ragnar Locker勒索软件攻击，赎金高达1090万美元。攻击者声称已经获取了该公司10TB的敏感数据文件，如果EDP不支付赎金，那么他们将公开泄露这些数据。EDP加密系统上的赎金记录显示，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。目前针对Ragnar Locker勒索软件的加密文件尚无法解密。

• 2020年2月，美国电力公司遭黑客攻击。伊朗政府资助的黑客组织Magnallium针对美国电网基础设施进行了广泛的密码暴力猜测攻击，并对美国的电力公司及石油和天然气公司的数千个账户使用通用密码轮询猜测。

• 2019年6月，美国Digital Trends网站报道称，俄罗斯黑客正在探测美国电网。这篇文章引用了《连线》杂志的一篇文章，文章描述了一个黑客组织Xenotime或Triton与俄罗斯政府试图破坏美国电网有关。

• 2019年6月，全球最大的飞机零部件供应商之一阿斯卡公司（ASCO）关闭了在德国、加拿大和美国的工厂，以防止勒索软件在其位于比利时扎芬图姆的工厂的IT系统感染勒索软件病毒后扩散。ASCO没有向公众公布攻击的具体细节，也不清楚它是通过支付赎金来恢复被攻击的信息系统，还是购买了一个新系统来开始重建其计算机网络。

• 2019年2月8日，据报道，英国安全研究人员发现，苏格兰远程监控系统制造商（资源数据管理）开发的制冷控制系统存在重大安全缺陷，影响了全球许多超市和医疗机构约7400台制冷设备。攻击者可以扫描互联网，发现暴露在网络中的制冷控制系统及其Web管理页面，然后使用默认账户密码登录系统后台，通过修改制冷系统的温度、报警阈值等参数，影响设备的正常运行。

• 2018年8月，全球最大的芯片供应商——台湾积体电路制造股份有限公司（TSMC，以下简称台积电）承认停止生产，且是由未修补的Windows 7系统引起攻击而造成的。台积电公司经由USB设备感染了类似WannaCry的病毒，而感染过程是因为一家供应商在未进行病毒扫描的情况下，将受污染的软件连接到台积电的网络完成的。病毒迅速传播，袭击了台南、新竹和台中的生产设施，受感染的生产设备是由一个身份不明的供应商提供的。

• 2016年10月，美国东海岸地区遭受大面积网络瘫痪，其原因为美国域名解析服务提供商（Dyn公司）当天遭受超强度的DDoS攻击。Dyn公司报道称此次DDoS攻击涉及千万级别的IP地址，其中重要的攻击来源于物联网设备，调查显示全球受Mirai感染的物联网设备数量达50万台。对Mirai恶意软件实施的针对物联网设备的分布式拒绝服务攻击事件的研究表明，攻击者可以利用这些弱点进行大规模攻击。在攻击过程中，病毒感染了消费者的物联网设备，如连接互联网的摄像机和智能电视，并将它们改造成僵尸网络，进而形成大量的恶意流量持续性轰炸服务器，直至服务器崩溃。研究人员发现，易被攻击者控制并实施DDoS攻击的工业控制设备通常使用供应商默认的密码进行安全保护，并且一般很少开展安全补丁升级或更新。需要注意的是，一些供应商的密码是硬编码到设备固件中的，而且供应商没有给用户提供更改密码的机制。现有的工业生产设施往往缺乏安全技术和基础设施，一旦这种攻击突破了周边保护，就无法检测和反击。

• 2016年3月，黑客利用窃取的凭证远程接入乌克兰电网，切断了30个变电站和22.5万名用户的供电，攻击手段包括安装自定义固件，删除包括主引导记录在内的文件，以及关闭电话通信。

• 2015年7月，乌克兰电力（EP）基础设施遭到沙虫袭击，导致近50万名乌克兰居民断电；亲俄黑客对乌克兰EP电网的攻击证明了对关键基础设施的网络攻击可能造成的破坏规模。但是，乌克兰电力系统可以切换到手动控制模式的能力，却被认为降低了攻击所造成的破坏性。

• 2012年8月，一种名为Shamoon的恶意软件破坏了沙特阿美石油公司约3万台电脑。部分恶意程序被配置为销毁硬盘驱动器的主引导记录，阻止它们重新启动。这次袭击的主要目的是蓄意破坏，可能是想打断公司的一些工业活动。事实上，该攻击行动不包含任何旨在控制或攻击工业系统的功能，即使它可能摧毁与生产或机器维护有关的计算机。

恶意攻击软件代码感染各种类型的工业互联网资源后将产生严重的影响，包括非法收集情报、恶意中断生产制造、无效甚至错误的现场操作数据欺骗、向控制器发送错误控制指令等。随着工业互联网技术的不断发展，开放性不断增强，应用场景不断多样化，这种攻击破坏行为将持续扩展。