石油天然氣產業的網路資安:產業概況 (上篇)
當地緣政治的緊張局勢升高,石油天然氣公司將更容易遭遇網路攻擊。 石油天然氣產業對於那些試圖癱瘓其營運與服務的大型網路資安攻擊並不陌生。石油產業目前最令大家耳熟能詳的網路攻擊,基本上都是為了駭入石油公司的企業網路。

地緣政治的緊張局勢不僅可能對現實世界帶來重大衝擊,對網路世界其實也一樣。2022 年 3 月,我們的研究人員觀察到多起不同駭客集團所發動的攻擊。在今日,發掘可能衝擊石油天然氣產業的威脅比以往更加重要,尤其是在局勢緊張的時刻。此外,我們的研究 也發現,石油天然氣公司都曾經因為網路攻擊而造成供應鏈中斷的情況,平均每一次中斷大約持續 6 天,財務損失金額大約 330 萬美元,而長時間的中斷也會對石油天然氣產業帶來進一步的損失。
所以,對於那些可能造成石油天然氣公司營運中斷的網路攻擊,我們有必要做一番更深入的研究,因為這類攻擊會嚴重影響企業營運和獲利。石油天然氣公司若能詳細檢視其基礎架構並發掘可能造成營運中斷的威脅,就有機會消除資安上的漏洞,同時改善其網路資安架構。
傳統石油天然氣公司的基礎架構
石油天然氣公司的產品供應鏈通常包含上、中、下游三部分。石油的探勘與生產流程屬於上游,原油的儲存和運送 (如輸油管、火車、輪船、油罐車等等) 屬於中游。至於下游,則是終端產品的生產。這三個階段都存在著資安風險,只不過上游和中游所發生的資安事件很少被公開。
一般而言,石油公司會擁有一些開採原油的鑽油井、一些暫時存放原油的儲油槽,以及一套將原油運送至煉油廠的運輸系統,如:輸油管、火車、船舶。煉油廠提煉後的各種終端產品,如柴油、汽油、航空汽油等等,會運送至油品儲存槽存放,最終再運送到消費者手中。同樣地,天然氣公司也有生產基地和運輸系統,如:鐵路、船舶、天然氣管。此外,還需要加壓站來將天然氣壓縮成液態以方便運送。接著再將天然氣運送至另一個工廠以便從天然氣中分離出各種碳氫化合物,如液化石油氣 (LPG) 和家用瓦斯。石油天然氣公司需要隨時監控其複雜的流程以達到最佳的量測效果、效能提升、品質控管以及安全。
其監控的數據包括:溫度、壓力、化學成分,還有外洩偵測。有些石油天然氣的生產基地位於氣候極端的偏遠地區。對這些地點來說,經由無線、有線 (光纖或銅纜) 或衛星的方式傳送監測數據非常重要。由於石油天然氣公司的系統通常是由軟體所控制,因此有可能遭駭客入侵。
威脅
石油天然氣公司需留意幾項威脅,該產業面臨的最大威脅是那些可能直接衝擊終端產品生產的威脅。此外,商業間諜也是這類企業必須小心防範的重點。
趨勢科技研究團隊在一份深入的研究當中列舉了以下幾項可能危害石油天然氣公司的威脅:
📍造成破壞
對石油與天然氣產業來說,歹徒可能造成的破壞包括:變更軟體行為、刪除或清空某些內容使企業無法運作、盡可能刪除或清空每一台電腦的內容。
這樣的破壞案例過去已有很多報導,其中最知名的就是 Stuxnet 案例。Stuxnet 是一個會自我複製的蠕蟲,擁有非常明確的攻擊目標和破壞行為。此蠕蟲的感染案例絕大多數位於伊朗境內,而且根據研究指出,它是專為攻擊該國納坦茲核電廠 (Natanz Nuclear Plant) 鈾濃縮設備的離心機而設計。
📍內賊威脅
在大多數情況下,內賊通常是心生怨恨的員工為了報復或希望賺外快而將公司的機密資料賣給競爭對手。此外,內賊也可能破壞企業的營運,例如篡改資料來製造問題、刪除或損毀企業伺服器或共用專案資料夾內的資料、竊取智慧財產、將機敏文件洩漏給第三方等等。內賊的威脅非常難防,因為他們通常擁有許多資料的存取權限。此外,內賊也不需花費數個月的時間來熟悉企業的內部網路,他們可能早就對企業內部運作瞭若指掌。
📍間諜與資料竊賊
資料竊賊與間諜有可能是更大規模破壞的前兆,因為駭客通常要先拿到某些資訊才能採取進一步行動。取得機敏資料,如:鑽油技術、石油天然氣存量資訊、特殊油品配方等等,都能為駭客帶來獲利。
📍DNS 挾持
DNS 挾持是進階駭客竊取資料的一種手段,其目的是要駭入企業 VPN 網路或存取政府機關或企業機構的電子郵件。我們已看過多家石油公司遭到進階駭客攻擊,而這些駭客很可能帶有某些地緣政治目的。所謂 DNS 挾持攻擊就是駭客篡改企業網域名稱伺服器的 DNS 設定。歹徒可能在網域的 DNS 區域設定檔案 (zone file) 當中插入一筆資料,或修改其中某個或多個現有主機名稱的對應位址。駭客最簡單能做的就是:置換網頁、在被挾持的網站上留言、讓網站無法存取。不過這些通常很快就會被發現,所以效果頂多就是稍微打擊一下企業的商譽。
📍針對網頁郵件 (webmail) 與企業 VPN 伺服器的攻擊
儘管網頁郵件和檔案共用服務已經是一種讓員工在外也能讀取郵件和重要檔案的必要工具,但這類工具卻會增加企業的受攻擊面。
比方說,網頁郵件的主機有可能因網頁郵件軟體本身的漏洞而發生 DNS 遭到挾持或遭駭客入侵的情況。網頁郵件、檔案共用及協同合作平台可能因登入憑證網路釣魚攻擊而遭到入侵。
一些計畫周詳的網路釣魚攻擊,有時候非常難以分辨,尤其當駭客註冊了一個跟原本網頁郵件服務非常相似的網域名稱,或者駭客使用了一個合法的 SSL 憑證並審慎挑選其瞄準的企業員工時。採用雙重認證 (最好能使用實體金鑰) 並搭配企業 VPN 來存取網頁郵件與第三方檔案共用服務,可以大幅降低這方面的風險。
📍資料外洩
資料外洩是企業永遠的痛,但石油天然氣產業尤其容易遇到這類威脅,因為外洩的資訊對競爭對手非常有利。此外,資料外洩還可能對企業商譽造成嚴重損害。我們在研究過程當中很輕易地就在網路上找到數十份有關石油產業的敏感文件。一個搜尋這類文件的方法是使用一種稱為「Google Dorks」的特殊 Google 查詢。另一種搜尋這類內容的方式是到 Pastebin 這類公開的網路服務上搜尋相關資料,這類網路服務可讓任何人複製貼上任何文字內容,貼上的內容會以私密或公開方式保存在該服務上。另一個資料來源是一些用來分析可疑檔案的公共沙盒模擬環境。使用者有可能會不小心將一些機密檔案送交給這類沙盒模擬環境分析,檔案一旦上傳之後,就可能被第三方人士解讀或下載。
📍外部郵件
一般來說,企業內的電子郵件是相當安全的,但外部郵件就無法控管。而員工經常會發送郵件到外部地址,因此有些敏感的內部資料很可能因而跑到公司外部。更糟的是,企業若未制定一套資安作業準則,機敏資訊很可能會被複製到缺乏防護的備份系統,或者保存在本地端個人電腦上,這樣會讓駭客更容易取得這些資訊。電腦一旦遭駭客入侵,駭客就能取得電子郵件並用於各種對企業不利的活動,例如駭客可能將資料公開在公共伺服器或 Pastebin 這類的網路服務上。
本系列第二篇將繼續探討更多可能危害石油天然氣產業的威脅,例如:勒索病毒、惡意程式、DNS 通道、零時差漏洞攻擊等等。
如欲了解更多有關石油天然氣所面臨的威脅,請至此處下載我們的完整報告。