國家工業信息安全發展研究中心：2019年工業自動化系統威脅分析報告（18頁）.pdf

1、2019 年 8 月，工業信息安全公司 Dragos 在對全球石油和天然氣行業網絡攻擊的研究中披露了一個名為“Hexane”的新組織，并將其與來自伊朗的 OilRig 和 CHRYSENE 組織聯系起來。研究顯示，該組織的攻擊目標是非洲、中東和西南亞地區的石油、天然氣和電信行業。盡管 Dragos 并未在研究中披露該組織的網絡入侵指標（Indicators of compromise)，但卡巴斯基、Secureworks、IBMX-force 等安全公司的研究也陸續證實了該組織的攻擊活動?？ò退够姆治鲲@示，新一輪攻擊所使用的 TTP 和此前OilRig 組織使用的 TTP 有一些相似之處。而

2、從目前相對簡單的攻擊手法和散播病毒程式的不斷演變來看，卡巴斯基認為該組織仍在試錯階段，并在尋找逃避檢測的最佳途徑。IBMX-force 的分析顯示，APT34(又名 OilRig 和 Crambus)策劃了針 對 中 東 能 源 設 施 的 攻 擊 ， 該 攻 擊 使 用 了 一 種 名 為“ZeroCleare”的數據清除惡意軟件。據 Fireeye 的研究發現，近年來以攻擊記者和政府組織聞名的黑客組織 APT32/海蓮花，2019 年開始積極組織針對跨國汽車公司的網絡攻擊。2019 年 2 月起，該組織向 5 到10 家汽車行業的機構發送釣魚郵件，還為豐田汽車和現代汽車創建了假域名，試圖進

3、入汽車制造商的網絡。目前還不清楚這些攻擊是否成功。據豐田方面表示，3 月豐田發現該公司遭到來自越南和泰國的攻擊，其日本子公司豐田東京銷售控股公司也遭到了攻擊，而 APT32 組織被豐田的一位官員確認是此次攻擊的罪魁禍首。2019 年，全球勒索軟件攻擊呈高發態勢，且攻擊受害者涵蓋眾多關鍵信息基礎設施機構和工業企業。據卡巴斯基數據顯示，2019 年，至少 174 家市政機構遭受勒索軟件攻擊，較 2018 年增長約 60%。1. LockerGoga 加密勒索軟件2019 年 3 月，作為全球最大的鋁生產商之一的挪威冶金巨頭 Norsk Hydro 遭遇 LockerGoga 勒索軟件攻擊。該勒索軟件通過感染軋制產品和擠壓工廠的工業網絡，阻塞了生產系統，導致 Norsk Hydro 公司在挪威、卡塔爾和巴西等多個國家的業務和工業流程中斷，對全球 40 個國家 170 個不同站點的 2.2 萬臺電腦造成影響。此次攻擊造成的經濟損失總額達到 5.5 億至 6.5 億挪威克朗（約合 6,050 萬至 7,150 萬美元）。LockerGoga 勒索軟件的受害者還包括法國咨詢公司 AltranTechnologies 和兩家美國化工企業 Hexion 和 Momentive。