铁路是国家战略性、先导性、关键性重大基础设施,是国民经济大动脉、重大民生工程和综合交通运输体系骨干,在经济社会发展中的地位和作用至关重要。城市轨道交通是全面开启建设社会主义现代化强国的重要支撑,是建设现代化经济体系的先行领域,也是建设交通强国和智慧城市的重要组成部分。随着云计算、大数据、物联网、人工智能、5G、卫星通信、区块链等新兴信息技术的飞速发展,轨道交通数字化、网络化、智能化、智慧化进入快速发展阶段。新一代信息技术驱动智慧乘客服务、智能运输组织、智能能源系统、智能列车运行、智能技术装备、智能基础设施、智能运维安全和智慧网络管理等主要业务系统向着服务安全优质、保障坚强有力、实力国际领先的方向迈进。
轨道交通网络规模的不断扩大,对数据共享和大容量数据通信的迫切需求,使系统对外界具有了前所未有的开放性、互联性。安全生产是轨道交通发展的基石,网络空间安全挑战也是安全生产必须面临的重大课题。病毒侵扰、木马窃密、信息泄露、勒索攻击、APT攻击、控制系统危害,如影随行,不期而至。任何攻击、侵害的发生,都可能会引起较大的人员和财产损失,产生长期、深远的不利影响。
天地和兴工业网络安全研究院持续跟踪轨道交通网络安全事件,梳理出2020年度发生的比较典型的网络安全事件,为相关企业和监管部门提供参考,防患于未然。
一、典型事件
1、英国火车站Wi-Fi提供商C3UK云数据库遭泄露事件
C3UK在英国各地的火车站为乘客提供免费的Wi-fi。2020年3月该公司承认未能对包含用户信息的数据库提供保护,导致1万名英国铁路乘客的个人数据泄露。
安全研究员Jeremiah Fowler发现该公司的AWS数据库不受口令保护,因此任何人都可以查看用户数据。该数据库是在2019年11月28日至2020年2月12日之间创建的,其中包含1.46亿条记录,例如乘客的出生日期、电子邮件地址和旅行计划。受影响的乘客包括在Harlow Mill、Chelmsford、Colchester、Waltham Cross、Burnham、Norwich和London Bridge使用免费Wi-Fi服务的乘客。该公司称数据库没有包含用户的口令或财务信息等关键数据。
2、美国铁路承包商RailWorks遭受勒索软件攻击事件
2020年3月,北美领先的铁路和运输系统提供商RailWorks Corporation披露了一起勒索软件攻击,导致现任和前任雇员、相关受益人和家属以及独立承包商的个人身份信息被曝光。
根据RailWorks向加州司法部长办公室提交的三份数据泄露通知,攻击者可能获得了个人敏感信息,包括姓名、地址、行驶资格证号码、政府签发ID、社会安全号码、出生日期、雇佣/终止/或退休日期等。身份未知的第三方对公司服务器和系统进行了非法加密,攻击者所使用的勒索软件详情也暂时未知。
3、美国铁路公司Amtrak遭到入侵导致其用户信息泄露事件
2020年4月,美国国家铁路公司Amtrak确定有未知的第三方对其用户的帐户进行未经授权的访问,导致某些Guest Rewards会员的个人信息泄露。该公司的安全团队在检测到入侵后的几个小时内,便采取了响应措施,阻止了黑客的访问,之后重置了Guest Rewards帐户的口令,并为受影响用户提供了为期一年的Experian的IdentityWorks身份盗用保护服务。Amtrak公司并未透露此次事件影响的帐户总数或可能暴露的个人信息类型,但表示没有任何财务数据、※用卡信息或社会安全号码泄露。
4、瑞士国际铁路车辆制造商Stadler遭勒索攻击事件
2020年5月,国际铁路车辆建设公司Stadler透露,它是网络攻击的受害者,攻击者设法入侵了它的IT网络,并用恶意软件感染了其某些计算机,并且很可能在此过程中从受感染设备中收集和泄漏了数据。在发现攻击并且Stadler采取措施加以遏制之后,此安全事件背后的威胁者也要求大笔赎金,并试图通过威胁泄露被盗数据来勒索公司。
尽管该事件的公告并未透露受影响的地点和系统的数量,但瑞士媒体表示,整个Stadler集团都受到了这次网络攻击的影响,包括来自瑞士和国外的地点。
5、西班牙国有铁路基础设施管理公司ADIF遭受勒索软件REVil攻击事件
2020年7月,西班牙国有铁路基础设施管理公司ADIF遭受了勒索软件Revil的攻击。攻击者声称窃取了800GB的机密数据,包括ADIF的高速招聘委员会合同、财产记录、现场工程报告、项目行动计划、关于客户的文件等等。ADIF随后表示其内部安全部门立即缓解了这种攻击。
作为攻击的证据,Revil勒索软件操作员发布了从该公司窃取的数据文件样本。如果ADIF拒绝支付赎金,Revil勒索软件运营商将在网上泄露其机密数据。
6、以色列铁路基础设施遭受网络攻击事件
2020年7月,一个名为“网络复仇者”的组织在一份声明中称,已对以色列的铁路基础设施发起了一系列网络攻击。攻击针对以色列铁路150多台工业服务器,影响了28个火车站和地铁站的运营。行动持续了10天,该组织还公布了以色列铁路网地图,确定了28个目标车站,包括耶路撒冷、特拉维夫大学和本古里安。在攻击行动结束六天多后,该组织表示,由于“设备和基础设施受到严重破坏”,车站仍然无法正常运行。
7、蒙特利尔公共交通系统遭勒索软件RansomExx攻击事件
2020年10月,加拿大蒙特利尔的STM公共交通系统遭到RansomExx勒索软件攻击,其IT系统、网站和客户支持受到影响。虽然此次中断并没有影响到公共汽车或地铁系统的运行,但由于STM使用的是在线系统,依赖STM辅助服务的残疾人受到了影响。STM的网站仍然处于关闭状态,但访问者被重定向到发布了有关公共交通服务和攻击信息的www.lastm.info网站。
8、英国地铁营销系统遭受网络钓鱼攻击事件
2020年12月,英国地铁公司证实了其营销系统被黑客攻击,该系统被用来发送钓鱼信息,向客户发送恶意软件。英国公司的客户收到了来自“Subcard”的电子邮件,内容是处理所谓的地铁订单。这些恶意电子邮件包括一个链接,指向一个武器化的Excel文档,其中包含订单确认。管理电子邮件活动的系统已经被破坏,泄露的数据包括客户的名字和姓氏。该系统没有任何银行或※用卡详细信息。
9、加拿大温哥华公共交通机构TransLink遭勒索软件Egregor攻击事件
2020年12月,加拿大温哥华市公共交通机构TransLink遭勒索软件Egregor攻击,导致温哥华居民无法使用Compass地铁卡,也无法使用Compass的售票亭购买车票。并致使TransLink的运营瘫痪长达两天。根据勒索通知内容,确定了攻击Translink系统的是勒索软件Egregor。
二、主要特点
一是攻击者利用的仍然是最基础的安全漏洞。
体系结构复杂,遗留老旧系统多,网络暴露面大,安全意识淡漠,认识不到位,基础防御措施落实不力,是当下最主要的问题。频繁发生的勒索攻击、信息窃取、钓鱼邮件攻击,均暴露出在资产、漏洞、补丁、风险管理上的基本网络卫生的缺失。随着信息化、智能化、网络化的广泛应用,轨道交通各类自动化控制系统向着分布式、模块化、智能化的方向迅速发展。由于各类的自动化系统与外界的隔离逐渐削弱,系统外部因素、内部因素和拓朴结构及各系统之间都可能存在安全漏洞。这些模块都有自己的需求,有时可能相互重叠或相互矛盾,网络中的一个或部分节点及边漏洞,都可能导致其他节点或边故障,进而引发级联故障。目前,大多数轨道交通运营实体正在进行数字化转型,大量的IT和连接设备IOT被引入轨道交通系统,这些变化也引入了新的漏洞。控制系统、远程监控、远程维护、乘客Wi-Fi和其他数字技术和服务等新技术正使铁路系统越来越容易受到潜在的网络威胁,使安全关键资产暴露在恶意黑客的威胁之下。各类病毒、恶意代码通过外部或内部接口不断侵入轨道交通系统内网系统,安全隐患问题日益严峻,加剧了轨道交通系统网络遭受恶意攻击的威胁。
二是勒索攻击和信息泄露是最大的威胁。
2020年勒索病毒攻击比以往都来得更猛,各种勒索病毒不断涌现,而且有新的攻击组织加入进来,导致勒索病毒攻击越来越频繁。轨道交通系统网络也成为攻击的重要目标,今年跟踪的几起典型事件也是勒索攻击为最多。由于数据泄露、后门漏洞、网络攻击以及相关的网络犯罪呈现新的变化,勒索病毒擅长使用的弱口令攻击、钓鱼邮件传播,采用网络扫描、凭证盗用、特洛伊木马、信息窃取、隐藏身份,使用IP欺骗、设备漏洞、破坏装置等主要攻击手段和工具。由于使用了RSA+SAISA20的加密方式,受害用户在无法得到解密私钥常规情况下,无法解密。比如GandCrab勒索病毒是国内目前最活跃的勒索病毒之一。在过去一年的时间里经过5次大版本更新,一直在和安全厂商和执法部门斗智斗勇。
尽管今年监测到的安全事件没有对生产控制系统的攻击,但随着新型病毒(如专门针对工控系统的STUXNET、EKANS)和新的攻击手段(如APT攻击)的出现以及一些其他系统的接口,互联互通、数据共享的需求以及IT网络和OT网络互通,生产控制系统面临潜在的威胁。
三是隐性损失难以估量。
轨道交通是现代化大城市公共交通的骨干,也是基础设施的重要组成,是关乎国计民生的重要目标。人们对轨道交通的依赖越来越大,随着轨道交通系统面临高危漏洞不断暴露,级联故障普遍存在于交通网等现实网络中,网络安全与风险不断加大,轨道交通一旦遭受攻击将造成巨大的损失,不仅对人们的工作和生活产生严重的影响,对交通秩序产生严重影响,对城市的形象产生严重影响,而且还会造成严重的经济损失,甚至人员伤亡、交通瘫痪、设备损坏、环境污染等严重的灾难性后果。目前发生的信息泄露和勒索攻击,将导致大量乘客信息或轨道交通基础设施关键信息的泄露并在地下黑市交易,这会成为攻击组织再次发动攻击的战略资源。一次简单或量级不大的信息泄露,其长尾效应和持续影响,是不容小视的。
随着城市的发展,轨道交通网络中线路的不断增加,轨道网络最终会发展成典型的复杂网络。轨道交通系统中的列车控制系统、信号系统、供电系统、隧道桥梁监测系统等网络属于工业控制网络,与一般的工业控制网络有较大的区别,网络协议不同、网络架构不同,设备运行的环境不同。轨道的安全防护体系需具备自身网络环境,应用环境、物理环境的特点,进行具有针对性的安全策略论证、安全模型设计和安全产品研发,建立并健全基于轨道交通安全防护体系,使用尝试防御安全体系结构,以防止恶意的网络攻击或人为错误。通过实施统一的安全策略,确保重要系统免受恶意病毒、恶意代码等的侵害,特别是能抵御来自外部有组织的团体,拥有丰富资源的威胁者发起的恶意攻击,并能在系统遭到损害后迅速恢复的功能,确保轨道交通系统中各功能模块有效性和稳定性的运行。轨道交通网络空间安全是轨道交通行业整体安全的重要组成部分,需要凸显其战略地位,从而切实加强人防、 物防、 技防“三位一体”的安全保障体系能力建设,确保本质安全水平、安全预防及管控能力、应急处置能力全面提升。