深入瞭解：石油和天然氣行業的網路攻擊

​採礦，運輸，煉油，分銷—石油和天然氣行業擁有廣泛而複雜的生產鏈，可能難以全面捍衛。風險來自各方：極端天氣會影響運輸，政治（全球和本地）會影響生產，對基礎設施的物理攻擊實際上會威脅到工人的安全，甚至影響世界的石油供應。由於存在所有這些具體風險，看似無形的網路攻擊似乎沒有那麼緊迫。

但是，隨著設施自動化和網路之間的連線性的增長以及雲服務的使用增加，石油和天然氣公司正越來越多地面臨與網路安全相關的威脅。

石油和天然氣企業的典型基礎設施

在整個過程中，持續監控至關重要。必須嚴格遵守溫度，壓力，化學成分和可能的洩漏的可見性。現場生產裝置以及安全儀表系統（SIS）和緊急停止系統至關重要，通常需要對其進行遠端監控。所有這些連線的系統都可能受到攻擊者的危害。

石油和天然氣公司幾乎沒有動力來加密來自感測器的資料，但是缺乏資料通訊完整性檢查使不良行為者有可能對油井和煉油廠進行破壞性攻擊。

對石油和天然氣公司的大規模網路入侵不是理論上的情景；現實世界中的罷工已經造成損害多年。2012年8月，世界上最大的石油公司之一遭受了廣泛的網路攻擊。該公司數萬臺計算機伺服器被稱為Shamoon的惡意軟體攻擊後癱瘓無法使用。

雖然供應原油當時世界還沒有受到影響，Shamoon襲擊被證明是對世界經濟的真正威脅。此分水嶺事件是由破壞性但相對簡單的惡意軟體引起的。當政治緊張局勢加劇時，對石油公司的網路威脅似乎變得更加普遍和緊迫。油公司是網路攻擊的目標，這些攻擊源於政治議程和地緣政治關切。對於例如，海灣地區最近發生的動亂事件已滲透到網路空間，即網際網路。

人們越來越關注不僅針對軍事和國防行業的惡意軟體攻擊還有石油和天然氣工業。這項活動已經進行了將近十年。在2012年至2019年之間，石油行業繼續遭受其他破壞性襲擊，Shamoon惡意軟體和所謂的StoneDrill惡意軟體的破壞性資料清除變體。

在2018年報導說，一家義大利石油公司遭受了Shamoon資料清除襲擊。4這次，幾百計算機伺服器受到打擊。

大約在同一時間，一家英國石油公司報告說，由多種已知惡意軟體引起的安全漏洞。

有幾個針對石油和天然氣的高階參與者團體或高階持續威脅（APT）行業。在本文中，我們描述了通常被稱為演員組的一些攻擊方法至APT33（也稱為精製小貓，Magnallium和Elfin）。眾所周知APT33具有積極性針對石油，天然氣和航空業及其供應鏈。

在2018年秋季，我們觀察到一家總部位於英國的石油公司在英國和美國都有計算機伺服器。印度與APT33命令與控制（C＆C）伺服器進行通訊。

另一家歐洲石油公司在印度的一臺伺服器上也遭受了APT33相關的惡意軟體感染，至少感染了三臺在2018年11月和2018年12月的幾周內。

我們還發現，至少兩年來，APT33使用了歐洲國家參議院國防委員會成員的私人網站，向魚產品供應鏈中的公司傳送魚叉式網路釣魚電子郵件。目標還包括向美國軍事基地提供飲用水的供水設施。

在本文中，我們還包括對APT33進行執行的多層混淆的研究結果他們在針對性極強的惡意軟體活動中針對中東和非洲目標的C＆C伺服器美國Pawn Storm 6是另一個針對石油和天然氣行業的威脅參與者組織。

特別是，我們已經看到來自石油和天然氣公司的電子郵件和VPN伺服器的偵察攻擊這個小組。

對石油行業最瞭解的大多數攻擊都是試圖打入企業界的初步嘗試。石油公司網路。我們將在本文中討論其中幾種攻擊。一開始就是了解完整的石油和天然氣生產鏈以及其中涉及哪些風險非常重要地區。本節將詳細討論這些問題。

從勘探石油到生產最終產品（例如汽車用汽油）的生產鏈通常是分為三個部分：上游，中游和下游。

與石油有關的過程勘探和生產通常稱為上游。原油的運輸和儲存透過管道，火車，輪船或卡車被稱為中游。而下游是生產最終產品。

網路風險存在於所有三個類別中，但對於中游和上游，存在很少有公開記錄的事件。一家典型的石油公司的生產基地是從油井，油罐場中提取原油的，石油被暫時儲存，並且有一個運輸系統將原油帶到煉油廠。運輸可能包括管道，火車和輪船。在煉油廠加工後，柴油等各種最終產品燃料，汽油和噴氣燃料被運送到油庫，產品隨後被運送到客戶。

一家典型的天然氣公司還擁有生產基地和運輸系統，例如管道，鐵路和船。但它也需要壓縮機站，在那裡天然氣被壓縮至特定壓力準備運輸。天然氣被輸送到分離裝置天然氣中的碳氫化合物，例如液化石油氣和炊事氣體。稍後會有不同的氣體使用管道，火車和輪船運輸給客戶。

從石油和天然氣生產到煉油廠再到幾種碳氫化合物最終產品的整個鏈中，持續監控對於績效評估，績效改進，質量控制，和安全。監控指標包括溫度，壓力，化學成分以及對洩漏。

一些石油和天然氣生產基地位於極端偏遠的地區，那裡的天氣可能非常惡劣。在特別是對於這些站點，透過空中，固定（光纜或銅纜）線路傳達監視的指標，或衛星很重要。

同樣，遠端控制現場裝置，例如閥門，泵，液壓和氣動控制系統，安全儀表系統（SIS），緊急停止系統和火災檢測裝置至關重要。所有系統都由軟體控制，可能會受到威脅由攻擊者。這些系統的可用性是關鍵，並且通常不會鼓勵保密。溝通控制訊息和監視資料中的資料通常未加密甚至未簽名用於資料完整性。這意味著可能有多種理論上的攻擊：傳送攻擊者控制系統的命令，注入命令，更改感測器資料以及重放攻擊其他。

幸運的是，攻擊者不太可能使用這些方法，因為其影響受內建預防危險情況的機械安全措施。

另外，許多攻擊都需要演員要靠近油井或煉油廠。僅有少數公開報告涉及石油和天然氣行業的工業控制系統（ICS），其中一些描述了針對SIS的攻擊煉油廠。

石油和天然氣公司面臨的更緊急的威脅來自幾個先進的攻擊者團體他們專注於這個行業。

在這些團體中，通常是襲擊軍隊的演員和國防工業。這些攻擊者考慮到地緣政治影響和間諜活動，在某些情況下案件旨在部署破壞性攻擊。智慧財產權盜竊和工業間諜活動也是對石油公司的危險威脅。

其中這些公司通常擁有的寶貴智慧財產權是新探明石油儲量的所在地尚未生產的產品，有效鑽探技術以及新增劑的化學成分在高階汽車汽油中。

在接下來的部分中，我們將討論與石油和天然氣相關的網際網路相關威脅行業。我們還將針對如何保護石油和天然氣公司免受各種威脅提出建議。

對石油和天然氣行業的威脅

基礎設施破壞

某些威脅行為者會部署專門設計用來破壞或破壞計算機伺服器，控制系統或工廠設施網路的惡意軟體。在針對石油工業的攻擊中使用了不同版本的抽頭惡意軟體。最臭名昭著的是，Stuxnet惡意軟體專門針對伊朗核電廠鈾濃縮設施中的離心機而啟動。另一個例子中，稱為惡意軟體Industroyer推動了影響電變電站用於工業控制系統（ICS），並且可以用於靶向其它關鍵基礎設施的有效載荷。

石油和天然氣行業的公司應該警惕這些威脅。另一個令人擔憂的事實是，不一定總是需要特定的惡意軟體才能成功破壞特定設施。任何允許攻擊者訪問裝置的人機介面（HMI）的遠端訪問工具都將帶來嚴重的風險。

間諜和資料盜竊

間諜活動和資料盜竊是至關重要的問題-公司依靠獨特的專有智慧財產權來保持優於競爭對手的優勢。在石油和天然氣工業中，諸如測試結果，鑽井技術，新的石油儲量和優質產品的化學成分之類的資訊非常有價值。而且，當然，高度重視的東西成為高度針對性的。

威脅行動者可以使用某些策略來試圖破壞通訊或尋找途徑以進行間諜活動以維持在公司網路中的存在：DNS劫持，攻擊Webmail和公司VPN伺服器，甚至抓取公開可用的資料資訊。

同樣，間諜活動和資料盜竊可能是更多惡意行為的起點。偵查是攻擊的第一步-公司必須保持警惕，並假設任何間諜活動的跡象都表明攻擊更為複雜。

不斷變化的惡意軟體

不同的惡意軟體在有針對性的攻擊中具有不同的用途：入侵，資料竊取，傳播等。對於威脅行為者而言，在受害者系統中保持存在至關重要。他們需要能夠持續向其惡意軟體發出命令並接收資料。命令與控制（C＆C）伺服器與惡意軟體之間的這種穩定，持續的通訊是優先事項，因此，攻擊者通常總是更新其惡意軟體，以儘早採取可能影響它的安全解決方案。

網路犯罪分子使用不同的惡意軟體來感染受害者，保持永續性並進行交流。例如，webshells（用PHP，ASP或Javascript編寫的微型檔案）可用於連線C＆C伺服器，竊取資訊，在受感染的伺服器上下載檔案等等。DNS隧道是一種利用DNS協議在惡意軟體及其控制器之間傳輸資料的方法。甚至電子郵件和雲服務都可以用作通訊渠道。

同樣，間諜活動和資料盜竊可能是更多惡意行為的起點。偵查是攻擊的第一步-公司必須保持警惕，並假設任何間諜活動的跡象都表明攻擊更為複雜。

勒索軟體

勒索軟體可能對日常運營產生巨大影響，尤其是由於企業網路的連通性。偵察是成功訪問公司網路所必需的-攻擊者必須確定目標範圍，以找到最佳的切入點。通常，他們使用專門為企業或行業設計的魚叉式網路釣魚電子郵件。然後，員工的一次錯誤點選可能會開啟數百個裝置以供折衷。一旦進入網路，攻擊者將嘗試橫向移動。他將仔細選擇一個時刻，在選定的伺服器上或在整個網路上大規模地投放勒索軟體。最終目標通常是使公司無法正常執行或無法恢復丟失的資料（例如，透過篡改備份系統），從而使他們更有可能支付贖金。

安全建議

石油和天然氣設施是至關重要的基礎設施，可為全球經濟創造重要產品。對於涉及產品製造的企業而言，保護供應鏈不僅是一件重要的事情，對於那些依賴和消費產品的企業來說，這也是一件重要的事情。

• 確保所有資料通訊均具有完整性檢查。
• 鎖定並保護域名。
• 使用域名系統安全擴充套件（DNSSEC）。
• 保持所有軟體為最新。
• 監視資料洩漏。
• 充分利用雲服務中的安全設定。
• 培訓員工並使他們瞭解當前的威脅。

趨勢科技研究 撰寫者 Feike Hacquebord和Cedric Pernet

《深入研究：石油和天然氣行業的網路攻擊》，以瞭解有關對石油和天然氣行業的嚴重威脅的更多資訊，閱讀全文：

https://documents.trendmicro.com/assets/white_papers/wp-drilling-deep-a-look-at-cyberattacks-on-the-oil-and-gas-industry.pdf

關注微信公眾號：紅數位 閱讀更多

混跡安全圈，每日必看！