编者按：由于全球新冠病毒大流行降低了石油需求，近几周来石油和天然气行业承受着巨大的压力。4月21日历史上原油期货价格首次跌为负值，美国WTI 5月原油期货收跌于每桶-37.63美元。油价负数意味着将油运送到炼油厂或存储的成本已经超过了石油本身的价值。在此石油价格危机之下，网络威胁行为体也从未停止网络攻击活动，其目标直指石油和天然气行业。

　　安全公司Bitdefender的研究人员最近发现，间谍软件Agent Tesla首次被发现用于石油和天然气领域的攻击。在最近的一起攻击活动中，攻击者冒充著名的埃及石油和加工业工程承包商Enppi，凭借其对石油和天然气的陆上和海上项目的丰富知识，滥用Enppi的声誉攻击马来西亚、美国、伊朗、南非、阿曼、土耳其等国的组织。该事件发生于3月31日至4月6日，攻击者冒充Enppi公司，邀请受害者参与Rosetta共享设施项目进行设备和材料的投标。

　　第二起攻击活动中，攻击者冒充货运公司Glory Shipping Marine，使用有关化学品/油轮的合法信息以及行业术语，提高了菲律宾受害者对钓鱼电子邮件的可信度。

　　Agent Tesla是一款基于.Net的信息窃取恶意软件，最早于2014年被发现。该软件具有凭据提取、复制剪贴板数据、屏幕截图、键盘记录等功能，并可以主动收集各种已安装应用程序的凭据。该软件还具备对抗安全防御措施的能力，可以中止与恶意软件分析相关的进程和防病毒解决方案相关的进程。

　　2019年10月开始以来，全球能源行业网络攻击呈逐月增长态势，并在2020年2月达到顶峰。能源行业的公司发出了5,000多个遭受恶意攻击的报告，这表明网络犯罪分子似乎对这一垂直领域产生了浓厚的兴趣，也许是因为在最近的石油价格波动之后，能源行业变得更加重要和具有战略意义。

　　一、Agent Tesla间谍软件概况

　　Agent Tesla间谍软件自2014年以来一直存在，并且在不断改进和更新。该软件采用“恶意软件即服务”(malware-as-a-service)模式运营，在该软件官方网站上出售，根据不同的许可模式提供各种定价。这种运营模式已经持续了一段时间，有被滥用的风险和趋势。

　　Agent Tesla原本只是个简单的键盘记录器，由.Net语言编写，记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今，Agent Tesla的开发者为其添加了更多的功能，使其从一个简单的键盘记录器变成了一个具有多种功能的商业键盘记录器。Agent Tesla最著名及最受欢迎的功能包括隐身、持久性和安全逃避技术，这些技术最终使它能够提取凭据、复制剪贴板数据、屏幕截图、收集键盘记录，甚至收集各种已安装应用程序的凭据。

　　安全研究人员已经在各种事件研究中记录了Agent Tesla的全部功能。有趣的是，直到现在，它还没有与针对石油和天然气垂直行业的活动相关联。

　　Bitdefender的安全研究人员Liviu Arsene表示，“在最近的这些攻击活动中，我们很难确定攻击者，因为这是我们第一次看到与能源行业有关的攻击活动使用Agent Tesla间谍软件。并且信息窃取程序本身并不是非常复杂的东西，而且可以在黑客论坛上购买，任何人都可以购买使用。”

　　二、近期针对能源行业投递Agent Tesla间谍软件的活动

　　1、冒充埃及石油公司Enppi进行钓鱼攻击

　　伪造的电子邮件模仿了埃及国有石油与加工工业工程公司(Enppi)，并声称作为Rosetta共享设施项目的一部分，邀请收件人代表知名天然气公司Burullus提交设备和材料投标。

　　Enppi是全球公认的主要工程、EPC总承包商和管理承包商，在石油、天然气、炼油和石化行业的陆上和离岸项目中拥有数十年的经验。

　　尽管这封电子邮件有投标截止日期，甚至要求投标保证金，看起来确实是合法的，但是附件中应该包含所要求的材料和设备清单，却被植入了木马软件Agent Tesla。

　　Rosetta共享设施项目是真实的，并与Enppi和Burullus有关。对于石油和天然气行业了解这些项目的人士而言，电子邮件中的信息足以说服他们打开附件。

　　这并不是石油和天然气行业首次成为此类活动的目标，正如2017年和2019年报道的那样，都遭受了结构相似的电子邮件间谍软件攻击，如远程访问特洛伊木马Remcos。

　　但是，最近这些活动使用了特洛伊木马Agent Tesla作为代替，不仅限于石油和天然气领域，还针对在此冠状病毒大流行期间被认为是至关重要的其他能源垂直领域。

　　通过分析受害者的概况，研究人员发现攻击者在石油和天然气、木炭加工、水力发电厂、原材料制造商以及大型商品的运输工具中处于活跃状态。

　　回到上面提到的活动，显示为.zip存档的两个电子邮件附件包含相同的可执行文件(B632FACEC1D71B03593F358F579C8D2F)：

　　l BURULLUS “EPC WORKS FOR ROSETTA SHARING FACILITIES PROJECT.exe

　　l WEIR OIL & GAS PROJECT NO 4621-422-298-01-20.exe

　　但是，根据Bitdefender的遥测数据表明，WEIR OIL&GAS PROJECT NO 4621-422-298-01-20.exe附件仅在此活动中使用，而以前没有使用过。

　　最后，该可执行文件将释放Agent Tesla间谍软件(aa651c58050cddb948901eb277b49af2)，该间谍软件将收集敏感信息和不同类型的凭据，并将它们发送回命令和控制服务器smtp [：] // smtp.yandex.com:587。

　　基于Bitdefender遥测技术，大多数报告涉及马来西亚、伊朗和美国。这些都是在石油和天然气行业中发挥重要作用的国家。

　　尽管与其他采用shotgun手法的鱼叉式钓鱼活动相比，实际报告的数量似乎很低，但善于精心策划的攻击者可能真正专注于石油和天然气行业。

　　大多数报告似乎都涉及马来西亚、中东和北非地区和美国。例如，美国和伊朗是世界上最大的石油生产国之一，这可能暗示了为什么石油和天然气鱼叉运动可能会针对这些地区，特别是在新冠病毒流行造成的全球石油价格下跌期间。

　　2、冒充航运公司进行钓鱼攻击

　　虽然3月31日的事件似乎是孤立的，且只发生了一天，但是在4月12日，有报道称，该垂直领域的另一家企业也收到了类似的包含Agent Tesla的电子邮件。尽管报告的数量可能很低，但邮件中使用的信息和行话结构确实表明，攻击者非常了解受害者的信息，并使用相关的语言和信息使其可信，并诱骗受害者打开伪造的附件。

　　以下电子邮件是在4月12日发送的，冒充通知收件人，需要发送船舶MT.Sinar Maluku的预计港口支出帐户(EPDA)，以及有关集装箱流量管理的信息(cfm)。

　　碰巧的是，实际上真的有一个带有该名称的运送化学品的油轮，以印度尼西亚国旗注册，该油轮于4月12日离开港口，预计将于4月14日到达目的地。

　　从所有这些信息来看，似乎4月13日来自Bitdefender遥测的报告数量可能很少(总共18份报告，其中15份来自菲律宾的货运公司)，但这确实表明这可能是高度针对性的鱼叉运动。

　　该电子邮件是攻击者为了混淆视听，使电子邮件看起来合法并特别针对垂直目标所做的努力的又一个示例。

　　三、能源行业网络安全态势及安全建议

　　1、能源行业网络攻击的全球演变

　　尽管在过去几周中，石油和天然气行业引起了网络犯罪分子的特别关注，但针对能源行业的恶意软件报告数量在2020年初有所增加。

　　从2019年10月开始，全球能源行业的网络攻击稳步增长，并于2020年2月达到顶峰。能源行业的公司发出了5,000多个恶意报告，网络犯罪分子对这一垂直领域表现出了浓厚的兴趣。也许是由于最近的石油价格波动之后它变得越来越重要和具有战略意义。

　　在网络攻击针对能源行业公司的国家中，美国、英国、乌克兰排名前三。这种Bitdefender遥测基于属于能源行业组织的唯一IP地址。

　　Claroty的CSO Dave Weinstein表示，“这是对工业组织(包括石油和天然气公司)日益增长的威胁的一部分，这些工业组织严重依赖远程访问来维持其运营。在新冠疫情传播时代，这种依赖更加明显。具有经济动机的黑客正在注意并参与有针对性的攻击活动，以窃取具有特权访问权限的人员的账户，目的是窃取数据或使用勒索软件进行勒索操作。”

　　2、石油及天然气行业的网络风险

　　毫不奇怪，针对关键基础设施的大规模攻击有上升趋势，对整个企业构成了巨大的网络和物理风险。毕竟，根据美国国土安全部的分类，之所以可以被归类为关键基础设施，是因为“它们被认为至关重要，以至于它们的功能丧失或破坏都会对安全、国家经济安全、国家公共卫生或安全产生不利影响。”其中，一些行业在安全方面面临的风险和挑战要比其他行业更大。石油和天然气(Oil and Natural Gas, ONG)就是其中之一。原因如下：

　　不安全的技术很普遍

　　总体而言，许多ONG公司的IT和OT基础设施延续了所有行业中的持续趋势：由于数字技术和IoT设备的快速(且通常为时过早)采用而导致安全漏洞普遍存在。与医疗保健部门匆忙实施电子病历系统最终导致医疗保健数据泄露事件加剧的原因类似，ONG行业不断采用互联互通的工业控制系统(ICS)，加大了可能存在漏洞及遭受威胁攻击的可能性。

　　更糟的是，许多ONG公司继续依靠过时的、不安全的操作系统甚至硬件。根据Ponemon Institute关于《石油和天然气行业网络安全状况》的研究表明，这些问题可能加剧了ONG在网络安全能力、准备和意识方面已经落后于许多其他行业的事实。因此，早在2016年有超过70%的ONG公司遭受攻击。

　　威胁因素更加复杂

　　尽管大多数安全和情报团队都很擅长保护自己的组织免受来自暗网的黑客的欺诈和网络犯罪分子的伤害，但与以ONG部门为目标的无数恶意网络和物理参与者进行斗争可能会带来巨大挑战，因此许多团队可能没有准备也没有能力解决。确实，专门针对ONG公司的攻击者在能力和动机上都更加成熟。

　　国家赞助的攻击者就是一个例子。这些参攻击者通常在政治、意识形态、敌对利益的驱使下，历来以ONG工业控制系统为目标，发起旨在破坏区域ONG实体的业务连续性的网络攻击，并试图访问和获取ONG的机密信息来支持外国军事行动。

　　此外，恐怖分子是许多ONG公司另一个需要关注的重点，尤其是那些业务分布在高风险地区的公司。毕竟，一些圣战组织长期以来一直在试图破坏能源基础设施，以破坏目标国家的经济并进一步推进其激进的议程。

　　损害可能很严重

　　ONG行业网络和物理风险增加的最明显原因是其在现代社会中无所不在且真正重要的作用。鉴于石油和天然气占世界能源消费的绝大部分，为国际贸易提供动力，并仍然是全球经济不可或缺的决定因素，因此任何可能损害这些资源和/或它们所依赖的系统的威胁都有可能产生灾难性的损失。

　　那么这些损害到底是什么样的呢?例如，2012年沙特阿美的网络基础设施遭受攻击之后，该公司近75%的数据丢失，并且业务以及全球石油供应链中断了数月之久，并产生了持久的经济后果。

　　显然，在保护关键基础设施实体方面，面临的风险是很高的，尤其是对于ONG公司而言。鉴于造成该行业网络和物理风险的众多问题无处不在，因此，ONG行业必须意识到并以安全的名义解决这些问题。无论部门或业务部门如何，保护关键资产、主动应对网络和物理威胁、以及准确有效地评估和缓解风险，都需要全面了解构成组织风险的所有因素。

　　3、能源行业网络安全建议

　　根据咨询公司德勤发布的《保护联网能源储备—上游石油与天然气行业网络安全问题》报告，在ONG行业的勘探、开发、生产阶段建议采取以下措施防范网络威胁：

　　1、 使用Token系统：企业可以使用令牌(Token)系统，将敏感的数据元素替换为等价的非敏感Token，而让系统运行在令牌之上而非真实的数据。这样，即使系统被攻击，黑客也一无所获。而核心的Token系统则隔离放置，真实的数据则使用加密方式存储在具有严格访问控制的系统中。

　　2、 流量监测：企业需要监测内部不同分支的网络流量，并制定不同的安全基线。例如，某员工下载了大量文档或者频繁的访问某个文档。这样企业可以对重要的数据的去向一目了然。

　　3、 可靠备份：考虑到数据采集的巨大成本，对数据进行可靠的备份是关键。这样可以确保即使数据遭到破坏，也不至于产生业务中断。企业应该摒弃需要时间来恢复数据的单节点方案，而是构建一个基于集群的方案，将备份存储集群中的每个节点连接到其他存储节点，使发生问题时能够更快地恢复数据。

　　4、 前置系统：考虑到供应商和设备在石油勘探过程中的复杂生态，企业可以引进一套新的前置系统、设备和软件，置于主流系统之前。就拿钻机系统来说，这套前置设备可以帮助操作员及早识别存在的恶意软件从而确保系统的安全。

　　5、 主动扫描：由于确保每一台资产的安全几乎是不可能的，而且附加的安全功能可能会干扰操作的可用性或延缓时间敏感的决策，因此企业需要采用一个全面的警觉战略。企业可以在克隆的数据采集与监视控制系统(SCADA)中进行网络扫描，以及利用物理或者非物理数据在搜索“正常基线”的异常情况，从而能在威胁接近目标之前，及时检测它。

　　6、 网络手册：虽然为机密数据建立物理隔离或者隔离受感染的系统是最常用的弹性策略之一,为钻井平台和陆上控制中心的利益相关者开发一个跨部门的网络手册也不为一个好办法，它可以显著减少响应时间并减少损失。响应时间至关重要,尤其离岸,因为钻机的每日合同费用高达50万美元。

　　7、 补丁更新：企业可以通过一个全面且灵活的补丁管理程序来确保其关键控制系统的安全，而不仅仅是定期进行补丁更新。这需要清点资产,并对每项资产进行详细的漏洞/严重性评估,并为关键资产及时安排更新。

　　8、 外部资源：通过将外部资源的威胁信息反馈与内部网络数据关联起来,企业可以及早识别和解决威胁，从而提高其网络警惕性。对企业来说,共享、建立和监控外部资源的关键指标是至关重要的。因为已经发生的攻击很可能会以不同的形态卷土重来。

　　9、 应急响应演练：为了迅速地控制威胁或具备弹性,企业可以通过网络模拟来进行定期应急响应演练。分期模拟,特别是对于离岸或者远程工作的人员,可以更好地理解威胁,并能尽可能的提高网络判断力。

　　附录：威胁指标(IoC)

　　以下为这两个鱼叉式钓鱼活动的威胁指标。

　　1、ENPPI攻击活动

　　哈希：

　　0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756

　　bcb75af86d50b3dec7c1d603f2a7b9ba06eb0ce0cdf3a310b71a2c8e6c4aca29

　　文件名：

　　BURULLUS “EPC WORKS FOR ROSETTA SHARING FACILITIES PROJECT.exe

　　WEIR OIL & GAS PROJECT NO 4621-422-298-01-20.exe

　　C&C服务器：

　　smtp：//smtp.yandex.com

　　2、冒充航运公司攻击活动

　　哈希：

　　c25df2651a747220690ee62f23e4246ce37765ec5d1ef624f156af3f0f14041b

　　315f9a2dd00607c135498821f573414c80e52619f2faa8e2715162d318939f35

　　689e10eed6804131422d026781776edeaec42d42a35b65512d70acbc3631946b

　　9b915d2e5f70b859d8c2eafc94bd593d3e53255444a5b4b651dfb9c2523d83d7

　　文件名：

　　MT_Sinar Maluku V.04.exe

　　vSVBfSw.exe.orig

　　C&C服务器：

　　smtp：//mail.besco.com.sa

　　smtp：//mail.shivanilocks.com

　　smtp：//mail.waman.in

　　参考来源

　　【1】 https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/

　　【2】 https://www.securityweek.com/oil-and-gas-companies-targeted-agent-tesla-malware

　　【3】 https://www.securityweek.com/assessing-cyber-and-physical-risks-oil-gas-sector

　　【4】 Deloitte Center for Energy Solution, Protecting the connected barrels--Cybersecurity for upstream oil and gas