英国,以美国为首的“五眼联盟”成员之一,近年来在网络安全攻防方面投入了大量资源,但近日却被爆出其核工业设施被外部势力执行了网络攻击。

起因

事件原委由telegraph公司提供,该媒体称:GCHQ的子机构国家网络安全中心(NCSC)一直在秘密地向英国一家核电公司提供援助,因为该公司在遭受网络攻击后一直难以恢复。

核退役局(NDA)使用信息自由法获得的一份报告提到,核电公司的相关工作人员意识到核发电厂的一项重要业务已受到网络攻击,造成负面影响,目前必须依靠NCSC的专业知识来应对,帮助业务恢复”。该文件来自2019年3月13日的董事会委员会会议,据信这是首次成功证明对英国一家核公司进行网络攻击的证据。

目前尚不清楚网络攻击造成了什么损害或网络攻击是否使公共安全受到威胁。NCSC拒绝列出参与攻击的公司或提供有关攻击的详细信息。而负责清理旧核电厂和乏燃料的NDA说,提供详细信息是“不适当的”,理由是“该事件与NDA集团以外的组织有关”。

这些披露可能会促使人们猜测英国核电站的安全漏洞,无法提供详细信息引起了人们对英国核电部门透明度和安全性的担忧。独立核研究顾问戴维·洛瑞(David Lowry)表示,该部门将对透露的细节保持谨慎。他说:“他们非常清楚,他们只需要发生一次安全事件,就会破坏整个系统的安全声誉。”,“仅出于声誉原因,他们就承受不了失误的负担。”,因此不会过多披露细节。但从描述来看,此次网络攻击很有可能存在一定的“内网权限恢复机制”,甚至已经获取到极高的系统权限,否则仅靠隔离受害主机从而批量重装系统的方式即可进行业务恢复。

攻击目标分析

由于原文对攻击细节只字不提,奇安信威胁情报中心对英国的核电站分布情况进行了分析,发现目前以下红点处仍在运营。

其中,原文称关于攻击目标的猜测可能集中在法国电力公司(EDF)上,法国电力公司在英国主导着核能发电。而该公司却拒绝在本周末就此事发表评论。

EDF Energy是英国的一家综合性能源公司,业务范围涵盖发电以及向英国各地的家庭和企业销售天然气和电力。它拥有13331名员工,处理570万个客户帐户。

EDF能源客户公司(简称EDF能源公司)由法国国有EDF(法国电力公司)全资拥有,并于2002年1月通过SEEBOARD Plc(以前称为东南电力局)的收购和合并成立,伦敦电力公司(以前是伦敦电力局或LEB),SWEB能源公司(以前是西南电力局)和两个燃煤电站和一个联合循环燃气轮机电站。2009年,法国电力公司(EDF Energy)接管了英国的核能发电公司,即英国能源公司(British Energy),从政府手中购买了股本。这使EDF Energy成为英国最大的发电厂商之一,以及最大的配电网络运营商。

而该子公司在2009年收购英国能源公司之后,法国电力公司的能源业务包括八个核电站。它们是七个AGR电站(Dungeness B; Hinkley Point B; Hunterston B; Hartlepool; Heysham 1; Heysham 2&Torness)和一个PWR电站(Sizewell B),总装机容量接近9000兆瓦。

其中电站在上面的地图中均标为红点且正在运营,几乎占据整个核电,这也充分说明了,此次的网络攻击目标确实有极大可能性为法国电力公司英国子公司。

而其法国电力公司总部位于巴黎,生产了22%欧盟电力,主要来自核电。

而法国电力公司在中国开展业务已达十五年之久。自1997年以来,法国电力公司成为中国电力生产的投资者。此外还与中国核工业领域有深入合作关系。

因此,若该公司网络系统存在脆弱性,则可能影响到中国的相关系统,因此相关部门需要引起重视。

组织架构

1、政府通信总部(GCHQ)

GCHQ,是一个负责向政府和军队提供组织信号情报(SIGINT)和信息安全保障的英国机构,功能上类似美国NSA的情报单位。

GCHQ有两个主要组成部分:负责收集信息的复合信号组织(CSO)和国家网络安全中心(NCSC),负责保护英国自己的通讯。联合技术语言服务(JTLS)是一个小型部门和跨政府资源,主要负责跨政府部门的技术语言支持以及翻译和口译服务。

2013年,当前国家安全局承包商爱德华·斯诺登(EdwardSnowden)透露该机构正在通过Tempora计划在英国收集所有在线和电话数据时,GCHQ受到了媒体的广泛关注。斯诺登的启示开始了对全球监视的不断披露。 随后,由于英国政府提起诉讼,《卫报》被迫销毁斯诺登提供给他们的所有有罪文件。

而近期,英国政府通讯总部(GCHQ)还曾经对ISIS发起了一次网络攻击,以将其网络基础设施功能锁定在核心位置。

2、国家网络安全中心(NCSC)

NCSC是由同在一栋建筑里的三家网络安全组织合并而成,并成立了一个紧急事件反应小组,以应对任何成功的网络攻击。其仍从属于英国政府通信总部(GCHQ),这是英国的第一大网络防御机构。建立NCSC,是因为英国政府曾在2015年宣布称将为网络安全提供19亿英镑的投资,英国财政大臣Phillip Hammond也将宣布与私营企业的一项新的合作,即邀请100名工作人员到国家网络安全中心工作。这些工作是兼职性质的,不会影响他们之前的工作。

该机构称,过去一年为英国进行了658次袭击,为英国提供了防御。

3、核退役管理局(NDA)

NDA是一个非政府部门公共机构中的部门商业,能源产业战略,所形成的2004年能源法案。它是由贸易和工业部的煤炭和核责任部门演变而成的。它于2004年底成立,并于2005年4月1日开始其主要职能。其目的是实现英国民用核武器的退役和清理。以安全和具有成本效益的方式进行遗留,并在可能的情况下加快减少危害的工作计划。NDA并不直接管理英国的核电站。它通过与专门设计的公司(称为“站点许可证公司”)的合同进行监督。NDA确定了管理退役的总体策略和优先级。

总结

10月30日,印度官员最初否认了该国最大的核电厂的网络攻击,但最终还是承认遭受了攻击并发布了相关信息(相关阅读:核心工业系统陷入危机?印度核电厂遭受网络攻击事件梳理与分析)。

而英国核电公司3月份就已经内部发通告称被攻击,但最终无法彻底处理威胁,居然还请求国家力量帮助,直到现在才被爆出相关信息。其实都侧面反映出,当国际级背景网军,针对另一国家核设施进行攻击时,往往目的性很明确,无非为了核技术窃取,核电公司相关人员的主机权限,甚至是为了保持权限持久化,从而在“需要的时候”进行断电,甚至核爆炸等等极具威胁性的攻击行为。

此外,由于核电产业在创建之时会进行一定的安全处理,因此会架设在内网系统中,这也恰恰是一个致命弱点:当网络管理人员在认为攻击者无法进入内网之时,攻击便已经完成了。

安全是发展的前提,发展是安全的保障。核电,乃至核科技工业体系,是国家战略核力量的核心和国家核能发展与核电建设的主力军,肩负着国防建设和国民经济与社会发展的双重历史使命。奇安信威胁情报中心再次提醒:网络安全保障工作至关重要。

参考链接

https://www.telegraph.co.uk/business/2019/11/30/cyber-attack-targets-uks-nuclear-industry/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。