2023年，針對關鍵信息基礎設施的網絡攻擊已經演變成為了一個全球性的問題，無論是中、美、俄等國際大國，還是諸多小國/地區，無論是經濟發達還是落后，都無法保證絕對免疫關鍵基礎設施的攻擊。為了保障國家安全和社會穩定，近年來我國持續增強在關鍵信息基礎設施領域的投入和治理，出臺了《關鍵信息基礎設施安全保護條例》等多部法規，大力推進相應安全工作。

《2023年勒索軟件洞察報告》指出，能源、石油/天然氣和公用事業公司報告的勒索軟件攻擊成功率高達85%。由于這些企業對社會的巨大影響以及支付給網絡攻擊者的贖金規模巨大，對于全球黑客來說無疑是一塊“肥肉”，因此他們受到勒索軟件攻擊的成功率不僅遠高于平均水平，也最有可能受到多重攻擊的影響。

其中，電力、交通、通信、金融等系統均在現代社會中發揮著至關重要的作用，一直是網絡攻擊的主要目標。網絡攻擊者可能試圖破壞這些系統、竊取敏感數據或者進行其他惡意活動。

本文根據現有公開資料及官方報道，按照時間順序，盤點了2023年全球十大關鍵基礎設施重大安全事件。

全球最大船級社遭勒索攻擊

2023年1月7日，全球最大海事組織之一DNV披露，其于晚間遭勒索軟件攻擊，ShipManager軟件系統相關的IT服務器已經被迫關閉。由于重要船舶軟件供應商遭遇勒索軟件攻擊，已有約1000艘船舶受到影響。

DNV總部位于挪威首都奧斯陸。ShipManager是一套全面的船舶船隊管理系統，支持對船舶與船隊在技術、運營和合規方面的管理。DNV是世界上最大的船級社，即管理船舶與海上結構物建造與運營技術認證的組織。

根據DNV的網站介紹，目前其擁有約300家客戶，客戶的7,000多艘船舶在使用其ShipManager軟件、Navigator港口軟件及船員管理軟件解決方案。ShipManager平臺包含的模塊可使客戶深入了解船舶管理數據的技術、運營和合規方面，包括計劃維修系統（PMS）、航運采購、船舶安全管理系統（QHSE）、船員管理系統、船體完整性管理以及航運數據分析。DNV目前為超過13175艘船舶及移動海上裝置提供服務，2021年收入超20億美元。

事件發生后，DNV表示已在與挪威警方和IT安全公司合作應對此次事件。

DNV方面表示：所有船只仍然可以使用shipManager軟件的船載功能和離線功能，船上的其他系統不受影響，這起事件并沒有影響輪船的運營能力。

同時，已將這次攻擊事件上報給挪威警方，以及挪威國家安全局、挪威數據保護局 (DPA)以及德國網絡安全局。所有受影響的客戶已被告知有責任通知其所在國家的相關數據保護當局。作為調查的部分，DNV正與全球IT安全合作伙伴密切合作，以分析該事件，并確保盡快恢復正常運營。

美國電信運營商T-Mobile遭到黑客攻擊，3700萬用戶信息被竊

2023年1月20日，美國電信運營商 T-Mobile 發布安全公告稱公司網絡遭到黑客攻擊，并從中竊取了涉及 3700 萬用戶的一些信息。遭遇攻擊后，T-Mobile 在24 小時內關閉了訪問通道，并通過系統回滾（system fallbacks）措施阻止黑客訪問“最敏感類型的客戶數據”。

在本次事件中，黑客沒有訪問密碼、支付卡信息、社會保險號碼、政府身份證號碼或其他金融賬戶信息。但是黑客訪問了一些基礎的客戶信息（幾乎都是在營銷數據庫或目錄中廣泛存在的類型），包括姓名、賬單地址、電子郵件、電話號碼、出生日期、賬戶號碼，以及賬戶中的線路數和服務計劃功能等信息。

T-Mobile表示，此次攻擊事件中泄露的信息可能會與其他被盜或公開的信息匯編在一起，被騙子用來竊取人們的身份或金錢。攻擊事件后，公司已經與執法部門達成合作，并第一時間通知了那些信息可能會泄露的客戶。

2023年5月，T-Mobile遭遇二次網絡攻擊。該公司稱攻擊者竊取了包括姓名、地址、社會保險號碼、出生日期等敏感客戶信息，約有150萬名客戶受到影響。

據報道，這些信息被竊取后已經出現在暗網上，而且已經在黑客之間傳播。為了解決這個問題，T-Mobile已經積極采取措施保護客戶的信息，并提供身份盜竊保護服務。并指引受影響的客戶訪問T-Mobile網站上的安全中心，以獲取更多信息和幫助。此外，T-Mobile也建議受影響的客戶采取措施來保護自己的身份信息，例如監控其信用報告、修改其密碼等。

T-Mobile表示，這兩次攻擊可能由同一個黑客組織所為。

英國皇家郵政遭遇LockBit組織勒索攻擊

2023年1月初，英國皇家郵政遭遇黑客組織攻擊。此次攻擊導致英國皇家郵政無法向海外客戶發送郵件，其寄往國外的郵件服務被嚴重中斷。

據當時的勒索票據顯示，它是由“LockBit Black Ransomware”創建，屬于LockBit所采用的新版加密器，包含已被關閉的 BlackMatter 勒索軟件的代碼和功能。票據還包含多個指向 LockBit 勒索軟件操作的 Tor 數據泄漏站點和協商站點的鏈接。

不久后，LockBit在一個俄羅斯黑客論壇的帖子中證實旗下某附屬組織發動了這次攻擊，表示只會在支付贖金后提供解密器并刪除從皇家郵政網絡竊取的數據。

攻擊期間打印出的Lockbit Black勒索票據

2月6日（UTC），皇家郵政被列入LockBit數據泄露網站的攻擊條目，表示該組織正式宣告對這起攻擊事件負責，該組織宣稱竊取了該公司44GB的數據，其中大部分是與200名員工有關的記錄。而根據條目顯示，如果皇家郵政不能在 2 月 9 日星期四凌晨 03:42分（UTC）之前繳納8000萬美元贖金，其被盜數據將會公開發布。

皇家郵政在 LockBit 數據泄露網站上的條目信息

按照執法部門的建議，皇家郵政拒絕支付贖金，并花費了一個月的時間讓其國際包裹遞送服務重新上線。攻擊事件過后，英國皇家郵政集團宣布斥資1000萬英鎊修復漏洞并加強網絡安全。雖然英國皇家郵政不愿透露其如何花費1000萬英鎊來加強網絡防御的細節，但確實證實了其在加強網絡控制方面的投資，以預防、檢測、響應和恢復未來的網絡攻擊。

2023年11月底，英國皇家郵政的母公司IDS發布了年中財務報告，披露了該公司在1月遭受LockBit網絡攻擊的影響。英國皇家郵政用于修復網絡攻擊的資金導致其基礎設施的成本每年增加5.6%，該公司上半年虧損了3.19億英鎊。

俄羅斯黑客試圖摧毀美國電力和天然氣設施

2023年2月15日，美國頂級網絡安全公司Dragos創始人兼首席執行官Robert Lee曝光稱，俄烏戰爭初期，俄黑客組織Chernovite試圖利用與相關的惡意軟件PIPEDREAM摧毀十幾個美國電力和液化天然氣場所，這幾乎導致美國的電力和天然氣設施離線，美國政府和網絡行業組織的聯盟阻止了此次攻擊。

根據Dragos的說法，PIPEDREAM是有史以來首個可用于各種工業控制系統的惡意軟件，其不是為破壞某特定系統而設計，因而特別危險；該惡意軟件也不會通過可以修補的漏洞進入系統很難防御。

PIPEDREAM是一種“國家級戰時能力”，是真正致癱基礎設施的首選方案；雖然PIPEDREAM惡意軟件并被未成功用于任何美國基礎設施，但Chernovite仍然活躍并將致力于該框架，預計該惡意軟件未來仍將被部署。

雖然Dragos公司因政策問題未將黑客組織與民族國家聯系起來，但其他安全研究人員表示，Chernovite使用的PIPEDREAM惡意軟件可能與俄羅斯有關。

美國政府機構于2022年4月13日宣布發現了這種危險的惡意軟件。在此三周前，美國總統拜登警告稱俄羅斯正在“探索針對美國的潛在網絡攻擊的選擇”，并敦促關鍵基礎設施組織加強安全工作。

親俄黑客對機場網站及歐管機構發起大規模DDoS攻擊

2023年2月15日，總理Olaf Scholz)在一次內閣會議上宣布了派遣14輛坦克的決定，并允許其他國家也派遣他們的坦克（根據出口法規，這些坦克至今仍受到限制）。

作為黑客行動主義者對德國政府決定向烏克蘭派遣豹2坦克的回應，2月16日，德國幾個機場的網站驟然間全部癱瘓，專家當即展開調查并推測是黑客對關鍵基礎設施進行大規模網絡攻擊所導致。

ADV 機場協會的首席執行官隨后證實，這些機場網站遭到了大規模 DDoS 攻擊。導致網站癱瘓的原因為親俄羅斯黑客KillNet對德國機場、行政機構和銀行的網站發起的一系列DDoS攻擊。攻擊導致杜塞爾多夫、紐倫堡、多特蒙德機場網站暫停服務。

雖然機場的其他系統并未受到影響，但此次攻擊導致德國國家航空公司漢莎航空在法蘭克福機場的數千名乘客的行程被迫取消并延誤后了兩天。且遭遇攻擊的當天晚上，全德7座主要機場的員工開始24小時罷工，導致超過2300架次航班取消，影響近30萬乘客出行。

據悉，此次網絡攻擊是它們通過分布式拒絕服務攻擊，有針對性地利用計算機程序的漏洞。因此，德國信息技術安全局呼吁國內所有關鍵基礎設施機構將系統更新至最新技術狀態。

時隔兩個月，該黑客組織再度出手，先是通過其 Telegram 頻道呼吁對 Eurocontrol 采取行動，隨后對歐洲空中交通管理局EUROCONTROL發起了大規模DDoS攻擊。

EUROCONTROL是一個國際組織，致力于在歐洲實現安全和無縫的空中交通管理。該機構目前有41個成員國，歐盟已將部分歐洲單一天空規則委托給它，使其成為協調和規劃整個歐洲空中交通管制的中央組織。該組織與國家當局、空中導航服務提供商、民用和軍用空域用戶、機場和其他組織合作。

作為對這次攻擊的回應，Eurocontrol建議航空公司避免通過其在線系統提交飛行計劃以最大程度地確保航空安全。

受影響的網站列表包括哈茲菲爾德-杰克遜亞特蘭大國際機場 （ATL）、洛杉磯國際機場 （LAX）、芝加哥奧黑爾國際機場 （ORD）、奧蘭多國際機場 （MCO）、丹佛國際機場 （DIA）、鳳凰城天港國際機場 （PHX） 以及肯塔基州、密西西比州和夏威夷的機場等。

美國俄勒岡州交通部遭遇MOVEit攻擊，影響350萬人

2023年6月1日，美國俄勒岡州交通部的司機和機動車輛部門遭遇MOVEit漏洞攻擊，造成大規模數據泄露。該事件預估影響350萬俄勒岡州居民。該部門在一份咨詢報告中這樣寫道：俄勒岡州交通部遭遇了MOVEit漏洞攻擊，部門第一時間立即對系統實施保護措施，但還是晚了一步，俄勒岡州350萬人的駕駛執照、許可證和身份證的數據記錄已經被黑客非法讀取。

該部門發布聲明告知當地居民稱：如果您擁有有效的俄勒岡州駕駛執照、許可證或身份證，那么您的信息很可能已經泄露。雖然不確定具體泄露了哪些信息，但通常來說，與DMV駕照、許可證或者身份證記錄相關的個人信息泄露的可能性較高，具體信息包括：姓名、家庭和郵寄地址、駕照或身份證號碼、社會保障號碼的最后四位數字。

盡管此次泄露并未暴露銀行、信用卡或財務信息，但俄勒岡州機動車輛管理局建議該州駕照持有者監控并可能凍結他們的信用檔案，以防止身份盜竊。

2023年以來，已有多個州級組織也宣布遭遇 MOVEit 漏洞相關的數據泄露事件。伊利諾伊州、密蘇里州和明尼蘇達州表示正在調查可能影響數千人的與 MOVEit 有關的數據泄露事件。俄勒岡州和路易斯安那州的機動車部門確認受到了這些攻擊的影響。

根據 CISA 和 FBI 的評估，這次入侵是俄羅斯勒索軟件組織 Clop 所為。他們利用 MOVEit 軟件漏洞攻擊了多個地方政府、大學和企業。CISA 高級官員表示，雖然只有少數聯邦機構受到了影響，但私營機構的初步報告顯示，至少有幾百家公司和組織受到了影響。安全廠商 Emsisoft 的威脅分析師 Brett Callow 稱，已統計到 63 名已知/確認的受害者和數量不詳的政府機構。

加拿大石油巨頭被黑影響全國加油站全面癱瘓

2023年6月27日，加拿大石油公司（Petro-Canada）的母公司森科能源（Suncor Energy）遭遇網絡攻擊，導致其位于全國各地的加油站受到技術故障影響。

該公司在推特發帖稱，客戶目前無法通過應用程序或網站登錄自己的賬戶，由于技術故障還導致客戶在該公司加油站加油時，無法使用信用卡或獎勵積分支付油費，也無法積累積分，對造成的不便表示道歉。

Suncor Energy是全球排名第48的上市公司，也是加拿大最大的合成原油生產商之一，年收入達310億美元。

攻擊事件發生后，該公司表示已采取措施以減輕網絡攻擊帶來的影響，并向有關部門通報了情況。Suncor Energy稱在事件解決之前，該公司與客戶和供應商的交易或將受到負面影響。不過目前還沒有發現任何證據表明，客戶、供應商或員工的數據因此而遭到泄露或濫用。

不過情況遠比官方的簡短聲明要嚴重許多，很多推特用戶表示，加拿大石油公司的加油站無法使用信用卡/借記卡支付，只能使用現金支付。技術故障還導致持有“洗車季通行證”的客戶無法在該公司的洗車中心享受特權。不少客戶紛紛提出退還訂購費用。

日本名古屋港遭網絡攻擊或影響汽車等制造業

日本名古屋港位于伊勢灣，是日本最大和最繁忙的貿易港口，占全國總貿易量的10%左右。該港口還是日本最大的汽車出口國，豐田汽車公司的大部分汽車都在這里出口。

據日本時報消息，2023年7月，勒索軟件LockBit3.0針對日本名古屋港發動了攻擊，導致該港口的貨柜調度系統NUTS暫停運作一天，裝卸貨柜業務中斷，現場出現貨車滯留的現象。

NUTS是名古屋港統一碼頭系統，該系統是控制基礎設施中所有集裝箱碼頭的中央系統。但在調查事故原因后，名古屋港當局與負責運營該系統的名古屋港口運營協會碼頭委員會以及愛知縣警察總部舉行了會議，發現問題是由勒索軟件攻擊導致的。

這次安全事件將對港口造成巨大的經濟影響。專家預估，此次攻擊事件還可能影響全國各地的貨物運輸。

但這已經不是日本港口第一次成為網絡攻擊的受害者。早在2022年9月，親俄羅斯組織Killnet就曾發動了大規模的DDoS攻擊，導致該港口的網站關閉。

名古屋港口運輸協會證實此次網絡攻擊擾亂了集裝箱進出港口的工作。日本網站FNN報道稱該港口得到集裝箱碼頭發生了系統故障。除了在拖車上裝卸集裝箱外，裝卸工作已經停止。

名古屋港當局發布通知稱此次故障或與“名古屋港統一碼頭系統”(NUTS)的操作問題有關，該系統是控制基礎設施中所有集裝箱碼頭的中央系統。但在調查事故原因后，名古屋港當局與負責運營該系統的名古屋港口運營協會碼頭委員會以及愛知縣警察總部舉行了會議，發現問題是由勒索軟件攻擊導致的。

但這已經不是日本港口第一次成為網絡攻擊的受害者。早在2022年9月，親俄羅斯組織Killnet就曾發動了大規模的DDoS攻擊，導致該港口的網站關閉。

7月5日，俄羅斯勒索軟件組織Lockbit 3.0對此次黑客攻擊負責。

NTT公司首席網絡安全策略師Mihoko Matsubara表示，勒索軟件攻擊者傾向于針對VPN和遠程桌面協議中的漏洞。她表示，此類攻擊行為占日本勒索軟件攻擊的80%?！皩τ诠緛碚f，更新或修補用于業務運營的軟件至關重要?！盡atsubara表示。

隨著越來越多的亞洲港口實現自動化并不再使用紙質文件，黑客對該地區的航運網絡構成了日益嚴重的威脅。

以色列最大的煉油廠網站遭遇黑客入侵，全球大范圍宕機

BAZAN集團總部位于海法灣，前身為石油精煉廠有限公司，每年原油煉化規模約980萬噸，年收入超135億美元，員工超過1800人。

7月29日晚上，BAZAN Group旗下網站BAZAN .co.il和eng.bazan.co.il無法進入，登入頁面顯示“請求超時”、“被公司的服務器拒絕”等字樣。

但經測試，該集團網站可以從以色列境內訪問，這可能是由于BAZAN已經實施了地理封鎖的舉措的原因。

Bazan Group網站顯示“訪問被拒絕”錯誤信息
(BleepingComputer)

伊朗黑客組織Cyber Avengers又名“CyberAv3ngers”在Telegram中稱，他們于周六（7月29日）入侵了BAZAN的網絡。

BAZAN的發言人則否認了工控系統資料泄露，并稱之為“完全捏造”。CyberAvengers聲稱他們通過利用CheckPoint防火墻的漏洞攻破了這家石化巨頭，公開記錄也顯示黑客攻擊的防火墻設備IP地址確實屬于BAZAN。

威脅參與者使用的所謂檢查點防火墻漏洞

該組織還泄露了BAZAN SCADA系統的屏幕截圖 ，該系統是用于監控和操作工業控制系統的軟件應用程序。其中包括“火炬氣回收裝置”、“胺再生”系統、石化“分流器部分”和PLC代碼的圖表等內容。

BAZAN發言人表示雖然該公司的圖片網站在DDoS攻擊期間短暫中斷，但沒有觀察到公司服務器或資產受到損害。BAZAN的網絡安全措施很完備，集團與以色列國家網絡管理局和其他合作伙伴密切合作，監控任何可疑活動，以確保行動的安全和完整性。

黑客組織進一步暗示，它通過一個針對該公司Check Point防火墻的漏洞入侵了這家石化巨頭。Check Point發言人強調稱黑客組織的這些說法均不屬實，過去沒有任何漏洞導致此類攻擊。

CyberAvengers的成員還分享了一張室內信息亭的圖片，他們聲稱該信息亭已被破壞，并附有以下信息：

值得注意的是，CyberAvengers曾聲稱他們對2021年海法灣石化廠因管道故障引起的火災負有責任。2020年，同一組織的威脅行為者還聲稱對28個以色列火車站發動了攻擊，目標超過150臺工業服務器。

斯洛文尼亞最大電力公司HSE遭勒索軟件攻擊

2023年11月22日晚，斯洛文尼亞電力公司Holding Slovenske Elektrarne (HSE)遭受勒索軟件攻擊，其系統和加密文件遭到破壞，該事件并未影響電力生產。遭遇攻擊后，該公司系統于11月25日夜間升級，并未危及生產或電力供應。

HSE是斯洛文尼亞最大的發電公司，約占國內產量的60%，被認為是該國的關鍵基礎設施。該公司由斯洛文尼亞政府于2001年成立，由國家所有，在全國各地經營著幾座水力發電廠、熱能發電廠和太陽能發電廠以及煤礦，同時在意大利、塞爾維亞和匈牙利也擁有子公司。該集團還在20多個歐洲國家擔任能源貿易商，在國家和歐洲批發市場上向客戶出售其生產的電力，并在歐洲各地的各個能源交易所進行電力和衍生品及相關產品的交易。

11月26日，國家辦公廳將此次攻擊事件通報給了信息安全辦公室，信息安全辦公室隨后將信息轉交給國家安全委員會秘書處業務組?？偫韮乳w也已獲悉此事。信息安全辦公室主任烏羅什·斯維特告訴媒體，所有發電業務都沒有受到大規模網絡攻擊的影響。盡管如此，IT系統和文件還是被“加密病毒”“鎖定”了。

該公司立即通知了Si-CERT的國家網絡事件辦公室和盧布爾雅那警察局，并與外部專家合作，以減輕攻擊并防止病毒傳播到斯洛文尼亞的其他系統。

HSE于11月27日表示：主要電站運營和交易系統已投入運行，與國家電網運營商的連接已恢復，整個通信和IT基礎設施將恢復平穩運行，不會產生重大負面后果。

據悉，此次攻擊由Rhysida勒索軟件團伙發起，其通過從未受保護的云存儲實例中竊取了HSE系統的密碼，并要求該公司支付100萬美元的贖金。

HS拒絕支付贖金，同時正式聲明他們已經控制了局勢。據HSE公共關系處和斯洛文尼亞共和國政府信息安全辦公室宣布，在內部和外部專家的幫助下，關鍵工作流程的實施條件已經正式建立起來，絕大多數員工已經可以開展工作。HSE 已經向所有主管機構和業務合作伙伴通報了此次網絡攻擊，并采取了一切必要措施.

關基安全已成主戰場

隨著國際戰略格局的演變，圍繞關鍵信息基礎設施的網絡攻防已成為網絡空間高烈度對抗的主戰場。關鍵信息基礎設施的安全問題已經成為了各國網絡安全的重中之重。

2023年以來，圍繞關鍵基礎設施的安全事件接二連三地發生，更加凸顯了如今關鍵基礎設施的網絡安全問題的緊迫性，復雜性和多維度特性，無論是個人還是企業都應高度關注其潛在的網絡攻擊。

綜合來看，關鍵基礎設施經常遭遇網絡攻擊的根源除了其巨大的社會影響力、支付贖金規模巨大之外、落后的安全維護技術、和陳舊的設施也是一大“禍根”。

比如港口、鐵路等關機設施常年不被重視，這才導致近幾年來因衍生出了無數安全“大麻煩”。運輸系統的癱瘓、大量敏感數據丟失、巨大的經濟損失......都給社會、企業與民眾帶來了嚴重的影響，因此大力強化關基保護工作勢在必行。