深入了解:石油和天然气行业的网络攻击
采矿,运输,炼油,分销—石油和天然气行业拥有广泛而复杂的生产链,可能难以全面捍卫。风险来自各方:极端天气会影响运输,政治(全球和本地)会影响生产,对基础设施的物理攻击实际上会威胁到工人的安全,甚至影响世界的石油供应。由于存在所有这些具体风险,看似无形的网络攻击似乎没有那么紧迫。
但是,随着设施自动化和网络之间的连接性的增长以及云服务的使用增加,石油和天然气公司正越来越多地面临与网络安全相关的威胁。
石油和天然气企业的典型基础设施
在整个过程中,持续监控至关重要。必须严格遵守温度,压力,化学成分和可能的泄漏的可见性。现场生产设备以及安全仪表系统(SIS)和紧急停止系统至关重要,通常需要对其进行远程监控。所有这些连接的系统都可能受到攻击者的危害。
石油和天然气公司几乎没有动力来加密来自传感器的数据,但是缺乏数据通信完整性检查使不良行为者有可能对油井和炼油厂进行破坏性攻击。
对石油和天然气公司的大规模网络入侵不是理论上的情景;现实世界中的罢工已经造成损害多年。2012年8月,世界上最大的石油公司之一遭受了广泛的网络攻击。该公司数万台计算机服务器被称为Shamoon的恶意软件攻击后瘫痪无法使用。
虽然供应原油当时世界还没有受到影响,Shamoon袭击被证明是对世界经济的真正威胁。此分水岭事件是由破坏性但相对简单的恶意软件引起的。当政治紧张局势加剧时,对石油公司的网络威胁似乎变得更加普遍和紧迫。油公司是网络攻击的目标,这些攻击源于政治议程和地缘政治关切。对于例如,海湾地区最近发生的动乱事件已渗透到网络空间,即互联网。
人们越来越关注不仅针对军事和国防行业的恶意软件攻击还有石油和天然气工业。这项活动已经进行了将近十年。在2012年至2019年之间,石油行业继续遭受其他破坏性袭击,Shamoon恶意软件和所谓的StoneDrill恶意软件的破坏性数据清除变体。
在2018年报道说,一家意大利石油公司遭受了Shamoon数据清除袭击。4这次,几百计算机服务器受到打击。
大约在同一时间,一家英国石油公司报告说,由多种已知恶意软件引起的安全漏洞。
有几个针对石油和天然气的高级参与者团体或高级持续威胁(APT)行业。在本文中,我们描述了通常被称为演员组的一些攻击方法至APT33(也称为精制小猫,Magnallium和Elfin)。众所周知APT33具有积极性针对石油,天然气和航空业及其供应链。
在2018年秋季,我们观察到一家总部位于英国的石油公司在英国和美国都有计算机服务器。印度与APT33命令与控制(C&C)服务器进行通信。
另一家欧洲石油公司在印度的一台服务器上也遭受了APT33相关的恶意软件感染,至少感染了三台在2018年11月和2018年12月的几周内。
我们还发现,至少两年来,APT33使用了欧洲国家参议院国防委员会成员的私人网站,向鱼产品供应链中的公司发送鱼叉式网络钓鱼电子邮件。目标还包括向美国军事基地提供饮用水的供水设施。
在本文中,我们还包括对APT33进行运行的多层混淆的研究结果他们在针对性极强的恶意软件活动中针对中东和非洲目标的C&C服务器美国Pawn Storm 6是另一个针对石油和天然气行业的威胁参与者组织。
特别是,我们已经看到来自石油和天然气公司的电子邮件和VPN服务器的侦察攻击这个小组。
对石油行业最了解的大多数攻击都是试图打入企业界的初步尝试。石油公司网络。我们将在本文中讨论其中几种攻击。一开始就是了解完整的石油和天然气生产链以及其中涉及哪些风险非常重要地区。本节将详细讨论这些问题。
从勘探石油到生产最终产品(例如汽车用汽油)的生产链通常是分为三个部分:上游,中游和下游。
与石油有关的过程勘探和生产通常称为上游。原油的运输和储存通过管道,火车,轮船或卡车被称为中游。而下游是生产最终产品。
网络风险存在于所有三个类别中,但对于中游和上游,存在很少有公开记录的事件。一家典型的石油公司的生产基地是从油井,油罐场中提取原油的,石油被暂时存储,并且有一个运输系统将原油带到炼油厂。运输可能包括管道,火车和轮船。在炼油厂加工后,柴油等各种最终产品燃料,汽油和喷气燃料被运送到油库,产品随后被运送到客户。
一家典型的天然气公司还拥有生产基地和运输系统,例如管道,铁路和船。但它也需要压缩机站,在那里天然气被压缩至特定压力准备运输。天然气被输送到分离装置天然气中的碳氢化合物,例如液化石油气和炊事气体。稍后会有不同的气体使用管道,火车和轮船运输给客户。
从石油和天然气生产到炼油厂再到几种碳氢化合物最终产品的整个链中,持续监控对于绩效评估,绩效改进,质量控制,和安全。监控指标包括温度,压力,化学成分以及对泄漏。
一些石油和天然气生产基地位于极端偏远的地区,那里的天气可能非常恶劣。在特别是对于这些站点,通过空中,固定(光缆或铜缆)线路传达监视的指标,或卫星很重要。
同样,远程控制现场设备,例如阀门,泵,液压和气动控制系统,安全仪表系统(SIS),紧急停止系统和火灾检测设备至关重要。所有系统都由软件控制,可能会受到威胁由攻击者。这些系统的可用性是关键,并且通常不会鼓励保密。沟通控制消息和监视数据中的数据通常未加密甚至未签名用于数据完整性。这意味着可能有多种理论上的攻击:发送攻击者控制系统的命令,注入命令,更改传感器数据以及重放攻击其他。
幸运的是,攻击者不太可能使用这些方法,因为其影响受内置预防危险情况的机械安全措施。
另外,许多攻击都需要演员要靠近油井或炼油厂。仅有少数公开报告涉及石油和天然气行业的工业控制系统(ICS),其中一些描述了针对SIS的攻击炼油厂。
石油和天然气公司面临的更紧急的威胁来自几个先进的攻击者团体他们专注于这个行业。
在这些团体中,通常是袭击军队的演员和国防工业。这些攻击者考虑到地缘政治影响和间谍活动,在某些情况下案件旨在部署破坏性攻击。知识产权盗窃和工业间谍活动也是对石油公司的危险威胁。
其中这些公司通常拥有的宝贵知识产权是新探明石油储量的所在地尚未生产的产品,有效钻探技术以及添加剂的化学成分在高级汽车汽油中。
在接下来的部分中,我们将讨论与石油和天然气相关的互联网相关威胁行业。我们还将针对如何保护石油和天然气公司免受各种威胁提出建议。
对石油和天然气行业的威胁
基础设施破坏
某些威胁行为者会部署专门设计用来破坏或破坏计算机服务器,控制系统或工厂设施网络的恶意软件。在针对石油工业的攻击中使用了不同版本的抽头恶意软件。最臭名昭著的是,Stuxnet恶意软件专门针对伊朗核电厂铀浓缩设施中的离心机而启动。另一个例子中,称为恶意软件Industroyer推动了影响电变电站用于工业控制系统(ICS),并且可以用于靶向其它关键基础设施的有效载荷。
石油和天然气行业的公司应该警惕这些威胁。另一个令人担忧的事实是,不一定总是需要特定的恶意软件才能成功破坏特定设施。任何允许攻击者访问设备的人机界面(HMI)的远程访问工具都将带来严重的风险。
间谍和数据盗窃
间谍活动和数据盗窃是至关重要的问题-公司依靠独特的专有知识产权来保持优于竞争对手的优势。在石油和天然气工业中,诸如测试结果,钻井技术,新的石油储量和优质产品的化学成分之类的信息非常有价值。而且,当然,高度重视的东西成为高度针对性的。
威胁行动者可以使用某些策略来试图破坏通信或寻找途径以进行间谍活动以维持在公司网络中的存在:DNS劫持,攻击Webmail和公司VPN服务器,甚至抓取公开可用的数据信息。
同样,间谍活动和数据盗窃可能是更多恶意行为的起点。侦查是攻击的第一步-公司必须保持警惕,并假设任何间谍活动的迹象都表明攻击更为复杂。
不断变化的恶意软件
不同的恶意软件在有针对性的攻击中具有不同的用途:入侵,数据窃取,传播等。对于威胁行为者而言,在受害者系统中保持存在至关重要。他们需要能够持续向其恶意软件发出命令并接收数据。命令与控制(C&C)服务器与恶意软件之间的这种稳定,持续的通信是优先事项,因此,攻击者通常总是更新其恶意软件,以尽早采取可能影响它的安全解决方案。
网络犯罪分子使用不同的恶意软件来感染受害者,保持持久性并进行交流。例如,webshells(用PHP,ASP或Javascript编写的微型文件)可用于连接C&C服务器,窃取信息,在受感染的服务器上下载文件等等。DNS隧道是一种利用DNS协议在恶意软件及其控制器之间传输数据的方法。甚至电子邮件和云服务都可以用作通信渠道。
同样,间谍活动和数据盗窃可能是更多恶意行为的起点。侦查是攻击的第一步-公司必须保持警惕,并假设任何间谍活动的迹象都表明攻击更为复杂。
勒索软件
勒索软件可能对日常运营产生巨大影响,尤其是由于企业网络的连通性。侦察是成功访问公司网络所必需的-攻击者必须确定目标范围,以找到最佳的切入点。通常,他们使用专门为企业或行业设计的鱼叉式网络钓鱼电子邮件。然后,员工的一次错误点击可能会打开数百个设备以供折衷。一旦进入网络,攻击者将尝试横向移动。他将仔细选择一个时刻,在选定的服务器上或在整个网络上大规模地投放勒索软件。最终目标通常是使公司无法正常运行或无法恢复丢失的数据(例如,通过篡改备份系统),从而使他们更有可能支付赎金。
安全建议
石油和天然气设施是至关重要的基础设施,可为全球经济创造重要产品。对于涉及产品制造的企业而言,保护供应链不仅是一件重要的事情,对于那些依赖和消费产品的企业来说,这也是一件重要的事情。
- 确保所有数据通信均具有完整性检查。
- 锁定并保护域名。
- 使用域名系统安全扩展(DNSSEC)。
- 保持所有软件为最新。
- 监视数据泄漏。
- 充分利用云服务中的安全设置。
- 培训员工并使他们了解当前的威胁。
趋势科技研究 撰写者 Feike Hacquebord和Cedric Pernet
《深入研究:石油和天然气行业的网络攻击》,以了解有关对石油和天然气行业的严重威胁的更多信息,阅读全文:
https://documents.trendmicro.com/assets/white_papers/wp-drilling-deep-a-look-at-cyberattacks-on-the-oil-and-gas-industry.pdf
关注微信公众号:红数位 阅读更多
混迹安全圈,每日必看!