關鍵信息基礎設施是對國家至關重要的資產、系統和網絡，遭受攻擊或破壞都將對國家安全、國民經濟、國家公共衛生或安全產生嚴重影響。主要包括交通、通訊領域、金融服務、政府設施、核反應堆、材料和廢物中心、關鍵制造業等。

關鍵信息基礎設施保持人類的日常生活正常，然而人們往往沒有意識到各類工業設備是如何提供基本設施的，例如清潔飲用水、家庭和企業用電、連接鐵路、送貨上門的包裝食品等。

最近在俄烏沖突期間，連接到OT組件和負責控制工廠運營設備的IT網絡受到大規模網絡攻擊。國家支持的攻擊者、APT組織和眾多黑客社區一直在積極攻擊關鍵信息基礎設施。攻擊事件的突然激增是由于當前俄烏沖突的地緣政治事件造成的。

全球各地的計算機應急響應小組(CERT)也在監視事件，并為公眾和企業發布警報、咨詢和建議。國家相關部門公開披露的信息包括供應商為其產品更新的漏洞修復補丁。

公開披露的信息還包括有關惡意軟件和威脅行為者的最新信息。例如前幾天美國CISA發布了重要建議，其中包括施耐德電氣的交互式圖形SCADA系統、西門子SICAM RTU的工程軟件、以及針對烏克蘭的Whisper Gate和Hermetic Wiper惡意軟件的詳細信息。

網絡、設備和軟件中的漏洞不斷被眾多惡意黑客利用。由于關鍵信息基礎設施在各國的各個方面都發揮著至關重要的作用，因此關鍵信息基礎設施面臨著網絡攻擊的高風險，任何針對這些機構的成功網絡攻擊都將導致災難性事件。

由于IT和OT技術的融合，傳感器、網絡設備、OT設備、工作站等相互連接，因此威脅行為者可以滲透這些關鍵領域，為攻擊者打開了大門。

一、攻擊活動詳情

2月25日，Anonymous的推特賬號@LiteMods聲稱對俄羅斯天然氣工業股份公司Gazprom發起了DDoS攻擊。Gazprom是一家俄羅斯能源企業，專注于上下游石油和天然氣業務，以及熱力和發電。該組織是俄羅斯四大石油生產商之一。此外，該公司擁有世界上最多的天然氣儲量之一。

2月27日，白俄羅斯網絡游擊隊（Belarusian Cyber Partisans）通過推特賬號@cpartisans聲稱其攻擊了白俄羅斯鐵路網絡，以支持烏克蘭。這次襲擊旨在減緩俄羅斯軍隊的入侵，并為烏克蘭人提供更多時間對抗俄羅斯軍隊。白俄羅斯網絡游擊隊是一個自2020年以來針對白俄羅斯政府機構的黑客活動組織。

隨后該賬戶提供了白俄羅斯鐵路內部計算機網絡監控系統的屏幕截圖。攻擊者利用了一個過時的Windows XP應用程序進入到白俄羅斯鐵路網絡。3月2日，該組織表示仍在積極監控局勢，并正在利用白俄羅斯鐵路基礎設施中的漏洞。

2月28日，有網絡犯罪分子襲擊了位于俄羅斯莫斯科附近的電動汽車充電站，攻擊者在充電樁屏幕上顯示支持烏克蘭的消息。

3月1日，黑客組織GhostSec聲稱可以訪問基于Nuclotron的離子對撞機設施(NICA)，并提供了有關真空系統、溫度和壓力的詳細信息。3月6日，該組織在推特賬號聲稱其擁有敏感數據，包括SQLI轉儲、SMB泄漏、FT服務器轉儲、JINR和俄羅斯部門的私有GitLab。

3月2日，有惡意黑客聲稱能夠入侵JINR，造成的破壞將使SCADA操作員難以在工廠工作。這使得SCADA系統的重要性大大增加。SCADA系統是每個行業處理工業設備的核心，尤其是在處理“核操作”的工廠。

對SCADA預定義參數的操作可能會引發一系列影響國家的事件。如果攻擊者可以繞過為關鍵核基礎設施設置的安全措施，就可能會給國家和整個世界帶來更嚴重的后果。

3月4日，Against the West威脅行為者聲稱已攻擊了Gazprom，并在3月5日發布了Gazprom的數據。Anonymous組織對此進行了轉發。

進一步調查發現，俄羅斯天然氣工業股份公司和其他主要石油和天然氣公司正成為DDoS攻擊的主要目標。研究人員發現了一個腳本，該腳本對俄羅斯Lukoil石油公司和另一家大型國有石油和天然氣組織發起了DDoS攻擊。同時研究人員也發現了各種網絡釣魚URL，針對俄羅斯石油天然氣行業另一巨頭Rosneft。

這一趨勢表明，黑客將積極攻擊石油和天然氣行業，操縱國家出口和經濟。在全球范圍內，石油和天然氣行業應該保持高度警惕，因為國家支持的黑客可以對與俄烏沖突直接或間接相關的組織進行此類攻擊。

3月6日，AnonGh0st通過推特賬號@JoanneHuggins6聲稱，俄羅斯SCADA系統已被黑客入侵并停止，并共享了與供水系統有關的各種泵和管道的屏幕截圖。3月7日，該賬號聲稱其入侵了俄羅斯的供水系統。

3月14日，Anonymous聲稱攻擊了俄羅斯能源公司Rosneft的德國子公司，并竊取了20TB的數據。

此外據報道，德國風力渦輪機運營商Tobi的系統衛星連接出現故障，導致數千臺風力渦輪機的遠程監控受到影響，總輸出功率為11吉瓦。此次中斷是由于Viasat公司的KA-Sat通信衛星故障造成的，衛星通信服務提供商Euroskypark、Eutelsat、Nordnet、以及美國軍事通信服務均使用Viasat公司KA-Sat通信衛星。由于該事件發生在2月24日俄烏特別軍事行動開始之際，因此可能是針對主要軍事目標進行網絡攻擊造成的附帶損害。

二、地下論壇活動

出于政治動機的威脅行為者正在針對關鍵信息基礎設施發起攻擊，特別是資源、政府、媒體、金融和保險行業。針對金融和保險實體是因為這是西方金融制裁的工作武器，而針對公用事業和資源實體是因為關鍵信息基礎設施對國家的重要性。這與2021年勒索軟件禁令實施后勒索軟件組織、訪問賣家及其相關行為者幾乎完全沒有此類攻擊形成鮮明對比。

埃森哲網絡威脅情報團隊跟蹤地下論壇活動發現，多個行為者明確表示希望以西方關鍵信息基礎設施為攻擊目標，以支持俄羅斯，包括勒索軟件組織Conti和威脅行為者JohnDetmer。JohnDetmer正在地下論壇尋求購買關鍵信息基礎設施的訪問權限。

關鍵信息基礎設施實體已從中低目標變成有了針對性的勒索軟件活動的重點，這些實體遭受的來自勒索軟件組織的出于政治動機的威脅顯著增加。這還可能威脅到依賴于關鍵信息基礎設施實體的不間斷連續性和服務的實體。

這一趨勢發生在已經越來越專業化的地下犯罪能夠忍受和應對各種犯罪活動的背景下。地下組織中有很多參與者，能夠外包網絡攻擊鏈的各個步驟，這使得勒索軟件組織可以擴大其活動規模，并增加針對特定組織的目標，而不僅僅是采取機會主義的攻擊方法。

此外埃森哲研究人員發現，一些攻擊者針對自定義惡意軟件和漏洞的預算不斷增加，其中Integra和FlawlessMarble的預算為500至1000萬美元，這使得使他們能夠獲得幾乎任何想要的工具或漏洞利用。此外在地下論壇中尋求網絡訪問權限的預算高達50萬美元。

三、影響及結論

對關鍵信息基礎設施的網絡攻擊可能導致生命損失、金錢和經濟問題、或聲譽受損。此外還可能在國內引發重大事件，從而影響整體經濟。由于針對關鍵信息基礎設施環境資產的網絡攻擊，工業運營可能會暫時或永久停止，這可能會給整個供應鏈帶來麻煩。

如果威脅行為者在戰爭時期對關鍵信息基礎設施發起網絡攻擊，很容易在公眾中造成混亂。因此，關鍵信息基礎設施的單一故障可能會影響軍事行動，這些部門正成為國家支持的威脅行為者的積極攻擊目標。

Cyble研究人員認為，在未來幾個月，涉及關鍵信息基礎設施的事件頻率將會上升。由于地緣政治問題，公共領域中關于利用關鍵信息基礎設施所使用技術的大量信息將允許惡意黑客對國家進行多次攻擊。目前關鍵信息基礎設施組織當前實施的安全措施仍缺乏安全措施。

四、緩解措施

• 評估防火墻和路由器配置；
• 列出ICS環境中的所有組件，并細化檢查其中的漏洞；
• 更新關鍵部門的所有設備，如工作站、串行到以太網設備、路由器、傳感器等；
• 限制暴露在互聯網上的設備；
• 適當的網絡分段可以防止網絡事件發生；
• 保持強密碼策略；
• 根據員工許可級別限制資產評估；
• 在關鍵部門工作的員工及管理人員必須進行網絡安全意識培訓。

參考資源：

【1】https://blog.cyble.com/2022/03/09/russia-ukraine-crisis-places-critical-infrastructure-at-high-risk/

【2】Accenture, Global Incident Report: Threat Actors Divide Along Ideological Lines over the Russia-Ukraine Conflick on Undergroud Forums, March 2022

【3】https://www.pv-magazine.com/2022/03/01/satellite-cyber-attack-paralyzes-11gw-of-german-wind-turbines/

【4】https://twitter.com/Anonymous_Link