导读

2020 年，网络安全挑战再度升级，各行业数据泄露事件层出不穷。Risk Based Security（风险基础安全）数据显示，2020 年全球数据泄露总数高达 360 亿，达到历史新高。

微步在线持续密切关注全球网络安全态势，并对 2020 年全球重大安全事件进行了梳理，精选出金融、能源、互联网、工控、政府、医疗、教育等行业的代表性事件，以及疫情相关的重大攻击事件，以便大家了解全球最新安全威胁，及时做好安全加固，防患于未然。

2020 重大安全事件盘点将会按细分行业陆续发布，敬请持续关注。

工业控制系统是关键基础设施的重要组成部分，工控安全直接关系到国计民生和国家安全。在政策、技术升级和创新的推动下，随着泛在物联网的发展，工控行业面临的安全形势愈加严峻。近年来，时有爆出 ICS 系统遭到定向网络攻击，2020年，勒索软件攻击爆发式增长，加之部分勒索软件存在明显针对工控系统的行为，使得勒索软件成为工控系统面临的最严峻威胁之一。除此之外，由于诸多工控系统的设计在安全方面本身存在缺陷，导致工控系统漏洞频出，而这些漏洞一旦遭到恶意利用，损失难以估量。

2020年1月 | Snake 勒索软件针对工业控制系统进行攻击

近期发现的 Snake 勒索软件一直以工业控制系统（ICS）相关文件为攻击目标。勒索软件被大量混淆，目的在针对整个网络而不是单个计算机或服务器。Snake 勒索软件在执行后将删除计算机的卷影副本，还会杀死与 SCADA 系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等有关的许多进程。然后，该恶意软件会跳过 Windows 系统文件和文件夹来加密系统上的文件。Snake 勒索软件在文件扩展名后附加一个“Iksrt”字符串。并且将 “EKANS” 字符串标记附加到每个加密文件上。完成加密过程的勒索软件将创建一个 TXT 文件说明，描述相关勒索信息和邮件地址用于接收付款信息。Otorio 表示，Snake 勒索软件是由伊朗创建的，主要目标是工业控制系统。

微步在线点评：

磁盘擦除器一般被用于针对性的破坏攻击之中，而勒索软件也能基本也能实现类似功能，不排除将破坏性武器伪装成勒索软件的可能。

参考链接：https://securityaffairs.co/wordpress/96939/malware/snake-ransomware-ics.html

2020年3月 | Digital Revolution 泄露 FSB 承包商项目信息

2020年3月，俄语黑客组织 Digital Revolution 泄露了一个名为 Fronton 的 IoT 僵尸网络的细节，该僵尸网络据称是一个承包商为俄罗斯情报机构联邦安全局（FSB）建造。泄露的 Fronton 的项目包含12个技术文档、图表和代码片段。泄露的数据表明该项目大量参考了僵尸网络 Mirai。Mirai 于2016年底用于构建大型 IoT 僵尸网络，并被用于向 ISP 等目标发动 DDoS 攻击。Fronton 僵尸网络能够暴力破解基于 Linux 的智能设备，当前 IoT 系统绝大多数使用该类设备。Digital Revolution 曾分别于2018年12月和2019年7月泄露 FSB 承包商的项目，包括社交媒体监控、Tor 流量去匿名化、电子邮件通信监视等项目。

微步在线点评：

使用 IoT 设备应及时更改默认凭证，避免使用弱密码，并定期修改密码。

参考链接：https://www.zdnet.com/article/hackers-breach-fsb-contractor-and-leak-details-about-iot-hacking-project/

2020年3月 | 钢铁制造商 EVRAZ 遭到勒索软件攻击

从事钢铁采矿和制造的 EVRAZ 公司遭到勒索软件攻击，使其在北美、俄罗斯和乌克兰分支机构的业务暂停。该公司的一位消息人士称，加拿大和美国的钢铁生产厂也受到了这次袭击的影响。该公司的总部正在尽力遏制文件加密恶意软件的传播，已在很大程度上取得了成功。Prima Facie 表示 EVRAZ 的数据库遭到 Ryuk Ransomware 攻击，攻击会导致生产工作暂停一段时间，可能会使美国1400多人和加拿大1800人失业几天。

微步在线点评：

企业网络一旦遭到破坏，导致的损失远比网络安全建设投入的资金要大，企业应该加强网络安全管理，防止网络遭到破坏。

参考链接：https://www.cbc.ca/news/canada/saskatchewan/evraz-regina-shut-down-ransomware-attack-1.5487017

2020年5月 | 针对意大利制造业的定向攻击活动

2020年5月22日，YOROI 团队披露了一系列高度定向的攻击活动，攻击目标为从事制造业务的意大利公司，其中一些公司还属于汽车生产链。此次攻击事件指纹与 YOROI 团队之前披露的多起攻击事件（Roma225、Hagga、YAKKA）存在一定关联性。基于对攻击者背景、攻击目的等方面的研判，该起攻击事件的背后黑客团伙疑似来自巴基斯坦地区的 Gorgon APT 组织。该次攻击事件采用鱼叉邮件方式进行投递 Macro VBA 宏的文档，经过多重解密装载流程，最终释放商业木马 AgentTesla 实现窃密。

微步在线点评：

企业平时应注意加强员工安全意识教育，发现陌生人发送的邮件和文件要及时与安全公司联系研判，并且可以通过威胁情报手段及时发现内网中可能存在的威胁，以便及时响应。

参考链接：https://yoroi.company/research/cyber-criminal-espionage-operation-insists-on-italian-manufacturing/

2020年5月 | 瑞士铁路机车制造商 Stadler 遭勒索攻击

国际铁路车辆建设公司 Stadler 透露其网络遭到恶意攻击，攻击者设法渗透了其 IT 网络，并用恶意软件感染了其中的一些机器，并且很可能从受感染设备中收集和窃取了数据。Stadler 已采取措施加以遏制，攻击者要求 Stadler 支付大笔赎金，否则就泄漏盗取的数据。Stadler 表示他们已为受影响的数据做了备份，并且正在尝试恢复受影响的系统。

微步在线点评：

数据备份是防范勒索软件攻击的有效措施之一，对勒索软件的防范，企业应加强内部网络安全监控，防止勒索软件侵入。

参考链接：https://securityaffairs.co/wordpress/103012/cyber-crime/stadler-data-breach.html?utm_source=rss&utm_medium=rss&utm_campaign=stadler-data-breach

2020年5月 | 伊朗霍尔木兹海峡的重要港口遭到网络攻击

本月初，伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭遇网络攻击，致使该港口水路和道路运行严重混乱。伊朗港口和海事组织总干事承认了此事，并且表示最近的网络攻击未能渗透到港口和海事组织的系统（PMO），只能渗透并破坏港口的个人计算机系统。有消息称此次攻击可能与以色列有关。

微步在线点评：

对于关系到社会秩序的基础设施，应该从各方面加强防护，加强网络安全的管理以保障系统的稳定运行。

参考链接：https://securityaffairs.co/wordpress/103517/cyber-warfare-2/israel-cyberattack-iranian-port.html

2020年6月 | 本田遭到疑似 Snake 勒索软件的攻击

英国广播公司（BBC）发布的一份报告称，汽车制造商本田遭到了网络攻击，随后该公司在 Twitter 上证实了这一消息。另一个同样在 Twitter 上披露的类似攻击事件的受害者是 Edesur SA，该公司隶属于 Enel Argentina，从事能源分配业务。根据公布的样本，这些事件可能与 EKANS / SNAKE 勒索软件系列有关。

微步在线点评：

近年勒索软件横行，企业应该加强员工安全意识教育，加强企业网络安全监控，做好企业重要数据的备份。

参考链接：https://www.bbc.com/news/technology-52982427

2020年7月 | 大量勒索软件和 USB 恶意软件可能会对 ICS 造成破坏

2020年7月，Honeywell 发布研究报告，表示恶意 USB 软件可能会导致 ICS 中断，并称在过去1年，使用 USB 传播的恶意软件数量大幅增加。报告基于该司 USB 安全平台收集的12个月的数据，涉及美洲、亚洲和欧洲60个国家的石油、天然气、能源、化工、食品、航运、航空航天和制造等行业，在 USB 设备上发现的恶意软件虽仅有11%是专门针对工业系统设计，但检测到的威胁有59%可能会对工业系统造成严重破坏。

2020年7月1日，FortiGuard Labs 发布报告，称在5月底和6月发现针对 ICS 系统的 EKANS 勒索软件变种。新变种使用 GO 语言编写，执行时会确认目标环境、隔离感染的系统、加密过程中使用 RSA 公钥、识别并停止特定的服务和进程、删除卷影副本等操作，6月的变种还有关闭主机防火墙的行为。

2020年7月15日，FireEye 发布报告，对存在针对 ICS 系统的7个勒索软件进行了分析，目前至少确定了 DoppelPaymer、LockerGoga、Maze、MegaCortex、Nefilim 和 SNAKEHOSE 这6个勒索软件与过去两年影响工业组织的重大事件有关，并公开了 CLOP 勒索软件与工控进程有关的硬编码列表。虽然这些勒索软件基本上都是出于经济动机，但客观上使得 OT 组织面临的安全风险增大，而随着更多的 IT 服务和功能被引入到 OT 解决方案中，OT 系统将面临更复杂的网络威胁。

2020年7月23日，NSA 和 CISA 对针对美国关键基础设施网络发出警报，称最近有攻击者表现出通过 OT 网络对关键基础设施进行恶意网络活动的意图，具体表现在针对 Triconex TriStation 和 Triconex Tricon 通信模块，而这些模块被广泛应用在电厂、工厂、石油和天然气等工业环境中。

微步在线点评：

1. 目前明确针对 ICS 的恶意软件相对较少，但由于其他恶意软件也可能对 ICS 造成破坏，故而除关注 ICS 安全本身之外，对 IT 相关的安全威胁也应引起重视。
2. 勒索软件是当前最为流行的威胁之一，而一旦 ICS 相关系统被加密，轻则造成中断，重则造成破坏，ICS 安全不能忽视勒索软件威胁。

参考链接：

2020年11月 | EOL Windows 源代码泄露使 IoT 设备易受攻击

Windows XP 和 Windows Server 2003 的源代码泄漏并发布在多个文件共享站点上，例如 Mega 和 4Chan。Microsoft 在 2014 年终止了对 Windows XP 的支持，在 2015 年终止了对 Windows Server 2003 的支持。像 Windows XP 和 Windows Server 2003 这样的 EOL（end-of-life）操作系统有数百个已知的漏洞，黑客可以通过这些漏洞渗透组织的 OT 网络。运行 EOL Windows 操作系统的 IoT 设备在医院中很常见。一个典型的中型医院平均有 75 种不同类型的医疗成像设备，其中继续依赖使用 Windows XP 和 Windows Server 2003 的设备非常多。不仅限于医疗保健行业中的 IoT 设备，此问题也影响到制造业等其他行业。

微步在线点评：

Windows 源码泄露，使网络安全人员可以有更多的思路去寻找漏洞，也给了攻击者可乘之机。目前很多企业仍然使用的Windows XP系统，这会造成很大的安全隐患。需要对系统进行升级，加强安全管理。

参考链接：https://unit42.paloaltonetworks.com/windows-xp-server-2003-source-code-leak/

2020年11月 | 新的 LidarPhone 攻击可以利用智能吸尘器进行窃听

研究人员发现了一种 LidarPhone 攻击技术，这是一种针对智能吸尘器进行窃听的声学侧通道攻击，可以将智能吸尘器变成间谍工具。如今，大多数智能吸尘器都配备了提供智能导航和地图的激光雷达传感器，攻击者可以将它们转换成麦克风并获得周围的噪音读数。然后通过数据处理来消除噪声，最终获得所需的声音，这可以是人类的语音，也可以是附近计算机、扬声器或任何其他设备的声音。虽然由于一些限制使得 LidarPhone 不易被利用，但 LidarPhone 攻击具有重要意义，随着智能吸尘器的普及度越来越高，这种攻击会给数百万用户带来风险。研究人员认为，这类攻击同样适用于其他带有主动传感器的设备，包括智能手机。而且，这种攻击策略允许远程攻击者在不访问目标设备的情况下进行窃听。

微步在线点评：

物联网设备的普及，为人们生活带来了便利，但如果设备本身缺乏安全防范措施，则极有可能被攻击者恶意利用，造成个人隐私泄露等影响。

参考链接：https://www.cs.umd.edu/~nirupam/images/2_publication/papers/LidarPhone_SenSys20_nirupam.pdf

2020年12月 | 物联网巨头 Advantech 遭到 Conti 勒索软件攻击

工业物联网芯片制造商 Advantech 遭到 Conti 勒索软件攻击，数据库遭破坏，数据被窃取，黑客索要 750 BTC（超过1300万美元）的巨额赎金。Conti 是一种相对较新的勒索软件，首次出现于 2019 年 12 月，2020 年 6 月开始被广泛关注。有分析表明，Conti 是臭名昭著的 Ryuk 勒索软件的继承者，通过RaaS（勒索软件即服务）交付传播，还建立了专门的数据泄露网站。这类勒索软件不仅会加密受害者的数据，还会窃取数据，然后在受害者支付失败或拒绝支付赎金的情况下，将数据泄露到暗网上。

微步在线点评：

继 WannaCry 勒索病毒之后，今年各类勒索病毒泛滥，成为发展最快的网络安全威胁之一。企业应加强自身网络安全能力建设，以防勒索软件有可乘之机。

参考链接：https://latesthackingnews.com/2020/11/29/advantech-suffered-conti-ransomware-attack-hackers-demand-750-btc-ransom/

更多推荐