工業系統不敵加密勒索攻擊 挪威鋁業巨企部份廠房被迫停運

工業系統一向給人密閉、安全的印象,然而隨著工序自動化的趨勢,工業或專門系統與外界連接的機會越來越多,情況變得與一般電腦連接網絡大同少異,因此對工業系統的網絡威脅同樣成立!而日前挪威鋁業巨企 Hydro 公佈受到加密勒索攻擊,導致部份廠房暫停運作!

公司全球網絡受感染
Hydro 的發言人在新聞會上表示,保安團隊在半夜首先發現公司伺服器有不正常活動,他們發現病毒正在傳播所以嘗試控制,結果只成功了一部份,他們隔離了廠房,但是公司的全球網絡受到感染。Hydro 沒有言明受影響電腦的數量,但該公司總共有 3.5 萬名員工,相信數字也絕對不會少。

Hydro 的團隊以 24 小時不間斷的形式處理事故,終尽取得部份成功,至少發電廠並沒有受影響,因為他們從主網絡中被隔離 (這是重要基建的最佳做法),可惜冶煉廠並沒有隔離,由於近年這些設施明顯比以前自動化,所有部份位於挪威的冶煉廠受到侵處。幸好團隊仍能讓部份廠房維持運作,儘管是在緩慢的半自動模式下進行,Hydro 發言人表示,由於無法與生產系統連線,導致生產面臨挑戰,有數家廠房暫時停工。

雖然攻擊規模十分龐大,但並沒有完全摧毀 Hydro 的運作,即使 Windows 的裝置被加密變得無用,電話、平板電腦等非 Windows 裝置能維持運作,這讓員工能夠繼續因應業務需要進行聯絡與反應。而昂貴的重要基建,例如價值 1 千萬美元用作生產鋁製品的缸,似乎未受到攻擊所影響。這次保安事故也沒有引發安全問題,在事件中沒人受到傷害,而 Hydro 期望能夠從備份中復原所有受影響的地方。

事件分析:對與錯
相信 Hydro 需要一段長時間才能讓運作完全恢復,調查事故更需要 Hydro 和挪威當局花費大量時間和努力,就事對於使用的加密勒索軟件和攻擊者仍然未有共識。有關部門表示他們有數個假設,其中一個假設是遭到 LockerGoga 加密勒索攻擊,有研究人員以緩慢、草率和沒努力迴避偵測形容這款加密勒索軟件,勒索訊息並沒有標明要求的贖金金額,只留下與受害人聯絡的地址。

雖然事故的分析工作還未完結,但是也可以藉已知的資料討論 Hydro 在事件中的對與錯。

對:

  1. 發電廠從主網絡中隔離,所以他們沒有受到影響。
  2. 保安團隊成功快速隔離部份冶煉廠,讓廠房能繼續運作 (大部份在半自動模式)。
  3. 員工在事件發生後能繼續正常通訊,表示通訊伺服器受到良好的保護而未被感染。
  4. Hydro 有進行備份,能夠復原被加密的部份回復運作。
  5. Hydro 具備「網絡保險」能夠彌補部份事件引起的損失

錯:

  1. 網絡沒有進行合適的分割,否則應該能更容易停止加密勒索軟件散播和控制它的攻擊。
  2. Hydro 部署的保安方案不足以捕捉加密勒索程式 (即使比較新,LockerGoga 也相當有名,卡巴斯基實驗室偵測它為 Trojan-Ransom.Win32.Crypgen.afbf。)