德国风力涡轮机制造商Nordex于4月2日在官网发布声明称,公司发生网络安全事件后,Nordex在多个地点关闭了其IT系统,客户、员工和其他利益相关者可能会受到关闭的影响。作为许多非技术公司的常态,它没有发布事件事后分析,其中包含有关初始威胁向量或攻击者的其他TTP的详细信息。Nordex集团及其子公司在全球范围内开发、制造和分销风力发电系统。2021年,Nordex在22个国家/地区安装了1,619台风力涡轮机,当 年销售额为54亿欧元。它拥有约8,600名员工和一个制造网络,其中包括位于德国、西班牙、巴西、美国、印度和墨西哥的工厂。
该公司在官网发布的声明指出,2022年3月31日,Nordex Group IT安全部门检测到该公司受到网络安全事件的影响。早期发现了入侵事件,并根据危机管理协议立即采取了应对措施。作为预防措施,公司决定关闭多个地点和业务部门的 IT 系统。
Nordex称,已经组建了一个由内部和外部安全专家组成的事件响应团队来控制该问题,防止进一步传播并评估潜在风险的程度。
GRCI Law的网络事件响应者Cliff Martin评论说,作为预防措施,该公司关闭了IT系统,这表明他们目前正在处理一个重大问题,希望在未来几天、几周甚至几个月内,他们将能够提供更多信息,以便类似的组织可以使用它信息,以更好地防御类似攻击。
在回应置评请求时,信息安全媒体集团(Information Security Media Group)收到了Nordex的自动回复,称该公司将尽快回复更多细节,并补充说:“由于目前的情况,我们恳请您了解这种反应可能需要一些时间。”
丹麦广播公司(简称 DR)的技术记者Henrik Moltke周日(4月3日)在推特上发表了他对这次攻击的质疑,称“Nordex,是受到‘网络事件’(通常意味着勒索软件)的打击另一家主要的风力涡轮机制造商。请注意,发布时间是两天攻击之后——并且没有提到OT系统。”
Moltke还表示,最近有几家绿色能源公司成为目标,并询问这是否是巧合。
类似事件
2021 年 11 月 19 日对世界上最大的风力涡轮机制造商之一维斯塔斯(Vestas)进行勒索软件攻击之后,该攻击使系统瘫痪,并看到黑客“破坏并获得对存储在维斯塔斯内部文件共享系统上的数据的未经授权的访问”,他们后来发布了这些攻击。
维斯塔斯在不到三周的时间内恢复了所有系统,并在其最新的事件更新中表示,它“没有迹象表明该事件影响了客户和供应链的运营……”
这次攻击是在数千台Enercon风能转换器的控制故障之后发生的,该问题仍未完全解决。周五(4月1日),Enercon宣布,在卫星通信中断后,超过85%的风力涡轮机现已重新上线。
Enercon 公司称,“1,101个风电场重新上线,193个风电场的通信继续中断(截至4月1日)。中欧(CNE) 地区的服务团队目前正在昼夜不停地开展大规模协调行动,以纠正问题,这次事件是 2月24日在KA-SAT卫星遭到网络攻击后出现的。
2月24日上午,当俄罗斯针对乌克兰的特别军事行动开始后,美国通信公司 Viasat报告说,它遭受了一次在线攻击,中断了对许多终端的访问。中断发生的时间大约是在俄罗斯坦克开始越过边境,导弹开始击中乌克兰目标的同时。
这次袭击没有归咎于任何团体或政府,但安全专家表示,一些乌克兰的武器系统和防御系统可能依赖基于卫星的通信进行指挥和控制。
据路透社报道,Viasat中断的一个连锁反应是它破坏了德国Enercon在中欧运营的约 5,800台风力涡轮机。运行技术的影响阻碍了对涡轮机的远程监控。
Viasat随后在3月1日报道称,“部分网络中断”正在“影响乌克兰和其他地方的固定宽带客户的互联网服务”,这些客户依赖于名为KA-SAT的Viasat电信卫星,该卫星为欧洲55个国家和部分地区提供服务。它将中断归咎于“网络事件”,称该事件仍在调查中。
此后,根据 SentinelOne安全研究人员Juan Andrés Guerrero-Saade和Max van Amerongen于3月31日发布的一份报告,基于他们发现的恶意软件样本,数以万计的Viasat消费者宽带调制解调器的中断可能涉及擦除恶意软件。已被称为酸雨--AcidRain。
Viasat事件的最新更新
周三(3月31日),Viasat发布了关于中断调查的最新消息,该中断影响了其运营的KA-SAT卫星通信或SATCOM网络的一些用户。具体来说,攻击者使大约 30,000 个以Tooway 品牌销售的住宅宽带调制解调器下线,这些调制解调器由总部位于意大利的Skylogic提供,该公司是法国卫星运营商Eutelsat 的子公司。
“这次网络攻击并未影响Viasat直接管理的移动性或KA-SAT卫星上的政府用户,”Viasat 在其概述和事件报告中说。“同样,网络攻击并未影响全球其他 Viasat 网络上的用户。”
Viasat以批发方式向分销商提供调制解调器,该公司表示,它已经运送了 30,000个替换调制解调器,如果需要,还会提供更多。该公司表示,最初的调制解调器没有被破坏或变砖,而是通过攻击者发送的一系列命令使其离线。
尚未归因
此次攻击尚未归咎于任何民族国家或攻击组织,尽管俄罗斯或亲密盟友仍然存在嫌疑。Outpost24的CSO Martin Jartelius进一步将这次袭击与俄罗斯及其入侵乌克兰联系起来,他说:“我们可以看到,针对风力发电卫星控制的攻击,主要是在德国,已经在乌克兰的冲突中受到了影响。能源是作为欧洲地缘政治发展的核心部分,网络领域仍然是有关各方在没有公开冲突的情况下相互破坏稳定的安全方式。这很可能只是早期被检测和阻止的勒索软件攻击阶段做得非常好,但时间和行业与当前令人不安的情况的其他因素相结合。”
参考资源:
1.https://www.govinfosecurity.com/hackers-target-wind-turbine-manufacturer-nordex-a-18833
2.https://www.nordex-online.com/en/2022/04/nordex-group-impacted-by-cyber-security-incident/
Anna艳娜
安全侠
安全圈
X0_0X
Andrew
RacentYY
RacentYY
X0_0X
安全侠
Andrew
ManageEngine卓豪
Coremail邮件安全
