近日,罗马尼亚国家石油管道运营商Conpet对外披露了一起重大网络安全事件:周二当天,一场突如其来的网络攻击如狂风骤雨般侵袭了其业务系统,不仅扰乱了正常的运营秩序,还导致公司网站陷入瘫痪状态。Conpet在罗马尼亚能源运输领域占据着举足轻重的地位,它运营着一张近4000公里长的庞大管道网络,宛如一条条能源动脉,源源不断地向全国各地的炼油厂输送着国内开采以及进口的原油及其衍生品,这其中就包括人们日常生活中不可或缺的汽油和液态乙烷等重要物资。周三,Conpet发布了正式新闻稿,详细阐述了此次网络攻击事件的影响。公司表示,此次事件主要冲击了其企业IT基础设施,不过幸运的是,并未对其核心运营造成实质性干扰,公司履行合同义务的能力也未受到波及。然而,网络攻击的破坏力并未就此止步,Conpet的官方网站也未能幸免,在这场攻击中不幸瘫痪。目前,该公司正与国家网络安全部门紧密合作,全力以赴地调查事件真相,并积极着手恢复受影响的系统。
不仅如此,Conpet还迅速采取了法律行动,第一时间通知了打击有组织犯罪和恐怖主义调查局(DIICOT),并针对此次事件正式提起刑事诉讼,力求将幕后黑手绳之以法。
在新闻稿中,Conpet进一步强调:“我们经过仔细排查发现,运营技术层面的关键系统,如SCADA系统和通信系统,均未受到此次网络攻击的影响。正因如此,公司通过国家石油运输系统运输原油和汽油的核心业务得以正常运转,整个运营过程未出现任何中断情况。不过,受此次事件影响,公司网站www.conpet.ro在此期间确实无法正常访问,给广大用户带来了不便,我们深表歉意。”
尽管截至目前,Conpet尚未公布此次网络攻击的具体性质,但一个名为麒麟(Qilin)的勒索软件团伙却已跳出来宣称对此次事件负责。就在今日早些时候,该团伙还将Conpet添加到了其暗网泄露网站上,公然挑衅。这伙威胁行为者更是嚣张地声称,他们从Conpet受感染的系统中成功窃取了近1TB的敏感文件,并为了证明此次数据泄露事件的真实性,还特意泄露了十几张内部文件照片,其中不乏财务信息和护照扫描件等重要资料。
麒麟勒索软件并非初出茅庐的新手,它于2022年8月以“Agenda”之名作为勒索软件即服务(RaaS)运营模式闪亮登场。在过去短短四年时间里,该团伙可谓劣迹斑斑,宣称对近400名受害者发动了攻击,其中不乏日产汽车、日本啤酒巨头朝日、出版行业巨头李氏企业(Lee Enterprises)、病理服务提供商Synnovis以及澳大利亚维多利亚州法院服务局等全球知名组织,其危害范围之广、影响之恶劣可见一斑。
针对此次事件,知名科技媒体BleepingComputer迅速向Conpet提出问题,试图获取更多详细信息,但截至目前尚未收到Conpet的即时回复。
值得一提的是,此次针对Conpet的网络攻击并非孤立事件。就在此前不久的12月,罗马尼亚水利局(作为该国水资源管理的重要机构)和奥尔特尼亚能源综合体(该国最大的煤炭能源生产商)也先后遭遇了勒索软件攻击,一时间人心惶惶。而在2024年12月,Electrica集团(罗马尼亚一家大型电力供应商和分销商)也未能幸免,遭遇了Lynx勒索软件攻击,导致大量数据泄露;更早的2024年2月,超过100家罗马尼亚医院因Backmydata勒索软件攻击而陷入混乱,医疗管理系统纷纷瘫痪,不得不紧急下线,严重影响了当地医疗服务的正常开展。这一系列事件无疑为罗马尼亚的网络安全敲响了警钟,也凸显了加强网络安全防护的紧迫性和重要性。
六方云专家点评:为能源安全拉响警报
Conpet作为罗马尼亚国家石油管道核心运营商,其IT系统瘫痪但运营技术(SCADA系统)未受影响,凸显了工控系统与IT系统隔离设计的重要性。然而,麒麟团伙窃取1TB数据(含财务信息、护照扫描件)并泄露至暗网,表明攻击者已突破传统边界防护,通过供应链渗透或社会工程学手段获取深层权限。此事件与2024年罗马尼亚水务局、能源综合体及医院遭勒索攻击的案例形成连锁反应,揭示该国关键基础设施已成为勒索软件团伙的“高价值目标”。
1.麒麟勒索软件的产业化威胁
麒麟(Qilin)自2022年以RaaS模式运营以来,已攻击近400家全球机构,包括日产汽车、朝日啤酒等跨国企业。其战术特点包括:
-双重勒索策略:加密数据的同时威胁泄露敏感信息,迫使受害者支付赎金;
-供应链渗透:通过云原生漏洞(如CVE-2025-55182)或第三方服务(如SolarWinds式攻击)横向移动;
-AI工具辅助:利用生成式AI伪造钓鱼邮件、深度伪造高管语音,提升攻击精准度。
Conpet事件中,麒麟团伙通过泄露内部文件照片证明攻击成果,进一步强化其“数据窃取+系统加密”的复合型勒索模式,对能源行业数据安全构成颠覆性挑战。
2.罗马尼亚能源行业的系统性风险
2024年以来,罗马尼亚能源、水利、医疗领域频繁遭受勒索攻击,反映该国关键基础设施存在三大共性漏洞:
-工控系统老旧:42%的ICS高危漏洞集中于电力、石油行业,修复周期长达150天;-供应链防御薄弱:39%的网络攻击源自供应链环节,如第三方软件更新、硬件篡改;
-员工安全意识不足:75%的钓鱼邮件攻击锁定员工账户,利用弱密码或默认配置突破防线。
六方云解决方案:构建“事前-事中-事后”全周期防护体系
一、事前防范:筑牢基础安全防线
1.工控系统加固
-部署工业审计工具:在工控环境里安排专业的工业审计类产品,就像给系统装上“千里眼”和“顺风耳”,能不间断地盯着 SCADA 系统和通信系统的运行情况。一旦发现异常行为,比如异常的数据访问、指令发送等,马上发出警报,让运维人员能及时处理。
-做好网络分区隔离:把 IT 系统和工控网络划分成不同的区域,就像给不同功能的房间装上独立的门和锁。通过严格的访问隔离措施,勒索软件就没办法从 IT 系统轻松地横向“溜”进工控网络,保障工控系统的安全稳定运行。
-运用白名单管控:给工控系统建立一份“白名单”,只有名单里授权的终端设备才能正常运行。这就好比给重要场所设置了严格的门禁,未知的、可能有恶意软件藏身的设备根本进不来,从源头上阻断未知恶意软件的执行。-严格评估第三方供应商:对和工控系统有业务往来的第三方供应商进行全面细致的安全评估。要求他们必须符合像 ISO 27001、IEC 62443 这些国际通行的安全标准,就像给供应商设立一道“安全门槛”,只有达标了才能合作,降低供应链环节带来的安全风险。
-建立软件物料清单并监控漏洞:给工控系统使用的软件建立详细的物料清单(SBOM),就像给每个软件都制作一份“成分说明书”。然后安排专人或者使用工具监控这些软件里的开源组件漏洞,比如曾经闹得沸沸扬扬的 Log4j、ProxyShell 漏洞,一旦发现及时修复,防止攻击者利用这些漏洞入侵系统。
3.员工安全培训
-开展钓鱼邮件模拟演练:定期组织员工进行钓鱼邮件模拟演练,就像进行一场“安全实战演习”。通过模拟各种复杂的钓鱼场景,让员工在实际操作中提高对深度伪造语音、视频等钓鱼手段的识别能力,以后遇到真正的钓鱼攻击时就能轻松应对。
-强制推行多因素认证并规范密码:要求员工必须使用多因素认证(MFA)来登录系统,就像给账户上了多重保险。同时,严禁员工使用弱密码或者在不同系统重复使用同一个密码,避免因为密码问题导致账户被攻击者轻易破解。
二、事中控制:斩断攻击扩散链条
1.全流量威胁检测
-部署 AI 驱动检测系统:在工控网络中部署六方云神探这类 AI 驱动的检测系统,它就像一个超级智能的“安全卫士”,能实时分析网络流量。不管是勒索软件的 C2 通信,还是数据外传等可疑行为,都逃不过它的“法眼”,能快速准确地识别出来。
-结合解密技术检测加密流量:利用 SSL/TLS 解密技术,对网络中的加密通道进行解密分析。因为有些攻击者会通过加密通道来传输恶意流量,比如麒麟团伙就可能通过暗网传输数据,通过解密就能发现隐藏在其中的恶意行为,及时采取防范措施。
2.自动化响应与隔离
-联动防火墙阻断攻击源:一旦检测系统发现勒索软件活动,马上联动工业防火墙,就像给攻击者设置了一道“电子围栏”,自动阻断攻击源的 IP 地址,让攻击者无法继续对系统进行破坏。
-使用防恶意代码 U 盘查杀主机:准备专门的防恶意代码 U 盘,当怀疑工业主机可能通过物理介质感染病毒时,用 U 盘对主机进行全面查杀,防止病毒在主机上扩散,保障主机的安全运行。
三、事后审计:追溯源头并修复漏洞
1.日志分析与溯源
-集中存储日志并关联分析:把工业审计、防火墙、终端安全等日志都集中存储起来,就像把各种线索都收集到一个“证据库”里。然后通过 SIEM 平台对这些日志进行关联分析,找出攻击的路径和规律,就像侦探根据线索还原犯罪现场一样。
-追溯入侵点并修复漏洞:通过日志分析,追溯麒麟团伙等攻击者的初始入侵点,比如是钓鱼邮件还是云漏洞。找到问题根源后,及时修复相关漏洞,并更新防护策略,防止类似攻击再次发生。
-数据备份与恢复:实施“3 - 2 - 1”备份策略:按照“3 份副本、2 种介质、1 份离线存储”的原则对关键数据进行备份。就像给重要文件做了多份“保险”,即使一份数据出现问题,还有其他备份可以保证数据的完整性,确保关键数据能快速恢复。
定期测试备份数据完整性:定期对备份的数据进行完整性测试,就像检查保险是否有效一样。避免备份数据被勒索软件加密或者篡改后,在需要恢复时才发现数据不可用,保证在遇到攻击时能顺利恢复数据。同时优先选择自主可控的工控设备和安全产品,就像打造属于自己的“安全武器库”。减少对国外技术的依赖,降低因为国外技术漏洞或者政治因素带来的安全风险,保障工控系统的长期稳定运行。逐步淘汰传统的边界防护模式,实施“默认不信任、始终验证”的零信任模型。就像给每个用户和设备都设置严格的身份验证关卡,不管是在内部网络还是外部网络,都要经过验证才能访问资源,限制内部用户的权限,防止内部人员误操作或者恶意攻击导致系统安全问题。
