加拿大铜山矿业公司勒索软件攻击案反思

当地时间2023年1月6日，加拿大Copper Mountain Mining公司发布新闻公告称，1月1日，该公司恢复了其铜山矿的初级破碎机的运营，此后不久，公司恢复了在袭击后预防性关闭的工厂的运营。1月4 日，该厂已全面生产，目前正在稳定运营，因为其余业务系统已完全恢复。 该公告还补充， Copper Mountain Mining 的外部和内部IT团队以及外部网络安全专家正在继续积极建立额外的保障措施，以减轻公司面临的任何进一步风险。 公司的主要目标仍然是以安全可靠的方式恢复完整的业务功能。

安全专家指出，Copper Mountain Mining公司勒索软件攻击是另一个过程传感器监控可以防止设施关闭的案例，也就是说勒索攻击后关闭设施运营并非唯一选项。

前情回顾

2022年12月29日，位于不列颠哥伦比亚省的加拿大铜山矿业公司(CMMC)宣布，它是勒索软件攻击的目标，影响了其运营。CMMC由三菱材料公司部分拥有，占地18,000英亩，平均每年生产1亿磅铜，估计矿产储量还可以再使用32年。针对该公司的网络攻击发生在年12月27日晚些时候，该公司的IT团队通过实施预定义的风险管理系统和协议迅速做出反应。为遏制这一事件，CMMC隔离了受感染的系统并关闭了其他部分以彻底检查它们并确定勒索软件攻击的影响。作为预防措施，CMMC的工程师不得不关闭工厂以确定其控制系统的状态，而其他流程则转为手动操作。“公司的外部和内部IT团队正在继续评估风险，并积极建立额外的保障措施，以减轻公司面临的任何进一步风险，” CMMC网站上的公告称。BleepingComputer在网络情报公司KELA的帮助下发现的一个有趣细节是，一名网络犯罪分子于 2022年12月13日在黑客市场上提出出售属于CMMC员工的账户凭证。据此判断攻击者很可能使用受损帐户实现了在该网络上突破。进入2023年一周后， 该公司确认生产已经恢复，在这次停工期间，它一直在将铜精矿从矿山库存中运往温哥华港，并保持了计划的运输时间表。

针对这家总部位于加拿大温哥华的矿业公司的勒索软件攻击类似于2021年6月针对JBS USA的攻击，后者影响了该公司在北美和澳大利亚的业务。该公司通知美国政府“他们是勒索软件攻击的受害者”，并通知政府赎金要求可能来自俄罗斯的一个犯罪组织。

Copper Mountain Mining在12月下旬确认了勒索软件攻击，并隔离操作，在可能的情况下切换到手动流程，并且工厂已经预防性关闭以确定对其控制系统的影响。该公司“迅速实施了风险管理系统和协议以应对攻击。该公司已隔离运营，在可能的情况下切换到手动流程，并且工厂已被预防性关闭以确定对其控制系统的影响，”它补充说。

防范勒索攻击只能关闭运营？

网络安全专家Joe Weiss在最近的一篇博客文章中写道，Copper Mountain Mining勒索软件攻击是另一个过程传感器监控可以防止设施关闭的案例。“由于传感器监控系统与设施的IP网络脱机，因此 IT恶意软件和勒索软件都无法访问传感器监控或流程。这意味着如果过程传感器表明过程没有受到影响，则工厂可能不需要关闭，”他补充道。Weiss在IEEE计算机杂志2022年11月号上的文章-“使用机器学习解决传统过程传感器的操作和网络安全限制”描述了在大型采矿/金属设施进行的测试。测试表明，传感器的物理特性可以提供Windows HMI无法提供的信息。

Weiss补充说，由于任何IP网络都可能被黑客攻击，离线监控传感器的物理特性可以说是证明在勒索软件或其他IT网络攻击期间继续运行的唯一方法。 此外，从IEEE文章中可以看出，监控过程传感器提供了一个真正的ROI，因为过程传感器监控还提供了改进的过程安全性、可靠性和产品质量。

他还指出保险业最近的讨论表明他们不会为勒索软件投保，Weiss强调说，“有人想知道保险业将如何看待本可以通过过程传感器物理监控来避免的手动关闭。”

Weiss此前多次强调，传感器监控系统不易受到IT或OT网络恶意软件或勒索软件的影响，因为它与OT网络隔离。也就是说，“你无法破解物理学。” 这意味着在传感器数据转换为以太网数据包之前执行的传感器监控方法可以为OT网络丢失时继续运行提供技术依据，无论是出于恶意还是无意的原因。

关基遭勒索频发岂能一关了之？

针对Copper Mountain Mining的勒索软件攻击发生之际，关键基础设施设施已成为全球目标。去年12月，铁路基础设施公司Wabtec通知客户，在其美国、加拿大、英国和巴西实体发生的一起事件中，一些个人的个人信息遭到了个人数据安全漏洞的利用。 

据说Wabtec的安全事件发生在2022年，可能会暴露个人和敏感信息。除了破坏网络和访问包含敏感信息的某些系统外，Wabtec还确定在攻击期间将恶意软件引入了某些系统。

大约在同一时间，据说里斯本港 (Porto de Lisboa) 遭到破坏，导致其网站在官方确认网络攻击者瞄准它后十多天无法访问。大约在同一时间，LockBit勒索软件组织将该组织添加到其勒索网站，声称发动了勒索软件攻击。

新闻报道披露，里斯本港务局证实网络攻击并未损害关键基础设施的运营活动。袭击发生后，政府将此事通知了国家网络安全中心和司法警察局。

另一场Lockbit勒索软件攻击于12月下旬宣布，当时多伦多病童医院成为攻击目标，导致几个重要的医院网络系统瘫痪，并导致患者护理大范围中断，OT和物联网公司的安全研究员Lali Hadar SCADAfence，在公司博客文章中写道。“这次攻击利用了勒索软件即服务变种LockBit。虽然没有任何组织声称对发动这次攻击负责，但LockBit勒索软件的制造商在事件发生两周后发表了道歉，”她补充道。 

Hadar补充说，与针对金融或银行业的勒索软件攻击不同，“对医疗机构的攻击可能会造成严重后果，而不仅仅是数据丢失或信息被盗。当医院或医疗机构被威胁行为者关闭时，它可能会中断患者护理，从而影响人类健康和安全。这使得医疗保健攻击通常比其他类型的攻击更具破坏性和更值得注意。”

2022年10月下旬，美国网络安全和基础设施安全局 (CISA)发布了网络安全性能目标，提供了一套易于使用的通用IT和OT（运营技术）网络安全保护措施，以改善国家关键基础设施的网络安全。CISA CPG的编写和设计旨在让非技术人员（包括高级商业领袖）易于理解和交流，旨在解决一些最常见和影响最大的网络风险。

关基遭遇勒索，大多数的应对措施就是关闭业务运营，简单粗暴，直接了当。但真正对经济、声誉、环境甚至社会稳定安全的影响，孰轻孰重，尚无细致评估。考虑到Weiss的观点，利用非IP数据的监测，在勒索事件前仍然有可能有所作为的。