近日,罗马尼亚国家水务局(Romanian Waters)遭遇了一场重大勒索软件攻击,导致全国10个水务办事机构超过1000个核心系统陷入瘫痪。受影响系统包括电子邮件服务、地理信息系统以及官方网络服务器,严重影响水务管理机构的日常运营。
罗马尼亚国家水务局是负责监管该国水利基础设施的核心机构,管理范围涵盖水坝、水道、饮用水供应和监测系统。此次攻击波及水务局总部,并影响其11个区域河流管理分支机构中的10个,包括奥拉迪亚、克卢日、雅西、锡雷特和布泽乌等地区。
攻击发生后,罗马尼亚国家网络安全局(DNSC)迅速介入,与水务局组成联合响应团队。
次日10:30,发布更新版新闻稿,内容与前一版本基本一致,作为权威信息向公众传播。
中午12:00,“罗马尼亚水务”单独发布情况更新,称调查仍在进行,攻击初始载体尚不明确,但已制定系统恢复行动计划。
攻击者在系统中留下电子信息,要求在七天内进行谈判。面对这一勒索要求,罗马尼亚当局明确表示不会支付赎金,坚定执行了国际社会达成的共识:不与攻击者接触或谈判。
调查分析发现,攻击者没有使用传统恶意软件,而是利用了Windows系统内置的磁盘加密工具BitLocker,对机构内部文件进行加密锁定。这种“利用合法工具进行攻击”的策略隐蔽性极强,能有效绕过许多基于特征码的安全检测,标志着勒索软件战术的升级。
罗马尼亚国家网络安全局在官方公告中还透露了一个关键信息:遭受攻击的罗马尼亚水务基础设施,当时并未接入由国家网络情报中心(CNC)运营的、保护国家安全关键基础设施的国家级防护系统。这一事实暴露了关键基础设施防御中的致命弱点——即便国家拥有先进防护体系,若未能强制或有效覆盖所有关键实体,仍会留下可乘之隙。事件发生后,当局已启动将该水务系统整合进国家关基防护体系的计划。
罗马尼亚国家水务局勒索事件并非孤例。近年来,全球水利行业已成为网络攻击的高频目标,一系列安全事件拉响了行业警报。
2025年11月,英国饮用水监管机构收到的报告显示,自去年年初以来,英国饮用水供应商已遭受了5次网络攻击,数量创下有统计以来的最高纪录。
2025年10月,加拿大网络安全中心与加拿大皇家骑警本周联合发布警告称,工业控制系统(ICS)正遭激进黑客分子操纵。受害者包括一家市政供水设施,其水压参数被更改。
2025年7月,黑客成功控制了挪威一处水坝的重要运营系统,掌握了最小水流控制系统的指令权限,并访问了水坝的阀门关闭机制,导致阀门被完全开启数小时。如果事件未能及时控制,可能引发水流失控,造成洪水、基础设施损毁,甚至危及周边社区安全。
2024年11月,美国环保局监察长办公室报告称,美国有超过300个为约1.1亿人服务的饮用水系统存在安全漏洞。安全评估发现,四分之一的系统存在可能遭受攻击的风险,其中97个存在“严重”或“高危”安全问题。
网络攻击手法日益复杂。从传统的恶意软件植入到利用合法工具的攻击,战术在不断进化。安全调研发现,ShrinkLocker恶意软件(一种将合法BitLocker工具用于攻击系统用户的脚本)正被“多个独立的威胁行为体用于针对老旧Windows系统”。卡巴斯基实验室研究显示,墨西哥、印度尼西亚和约旦的网络攻击受害者,包括钢铁和疫苗制造公司以及政府实体,也遭遇了利用系统内置工具开展的攻击。
攻击动机多元化。水利系统不仅面临以经济利益为目的的勒索攻击,还要应对黑客行动主义、地缘政治博弈等复杂威胁。罗马尼亚国家水务局事件发生前,欧美网络安全机构已警告亲俄黑客组织对全球关键基础设施的威胁。
防护体系存在覆盖缺口。即使是发达国家,水利基础设施的网络安全防护也存在明显短板。美国饮用水系统安全漏洞事件中,其报告指出,环保局自身缺乏“一个供水和废水系统可用于向其报告网络安全事件的专用报告系统”。
OT与IT融合加剧风险。随着数字化进程加速,水利设施的IT系统与OT系统融合程度加深,原本封闭的工控网络面临更多暴露风险。例如上文的加拿大、挪威案例,OT系统直接遭受攻击将导致更严峻的后果。
供应链安全难以保障。现代水利系统依赖复杂供应链,从传感器到SCADA系统,各个环节都可能成为攻击入口。2023年12月,爱尔兰西海岸的居民连续数天无法用水,原因是支持伊朗的黑客组织无差别攻击了一种由以色列制造的设备。
强化网络监控与异常检测。针对系统合法工具被恶意利用,必须加强网络内部正常工具和行为的基线监控与异常分析。通过用户行为分析等技术,建立对合法工具使用的监控能力,及时发现异常模式。
实施严格的网络分段或隔离。水利机构应在IT与OT网络之间建立强隔离,确保即使IT网络遭受入侵,也不会波及直接控制物理设施的OT网络。同时,在OT网络内部,应根据业务功能实施微隔离,限制横向移动。
制定全面的业务连续性计划。核心IT系统的长期瘫痪本身就是重大危机。水利机构必须确保在IT系统完全失效时,仍能通过备用流程(如人工、语音指令)维持最低限度的安全运营。
提升全员安全意识。多数攻击始于钓鱼邮件或社会工程学攻击。水利机构应定期对员工进行安全意识培训,特别是针对关键岗位的操作人员,提高他们对潜在威胁的识别能力。
定期进行安全评估与渗透测试。通过模拟真实攻击,发现系统中的脆弱点,特别是对暴露在互联网上的工业控制系统组件,应进行专项安全评估。
威努特作为长期扎根水利行业的工控安全企业,参与了多个流域级建设项目,具备工控安全顶层规划、建设落地、常态运营经验,能够为水利行业提供一站式的工控安全解决方案,满足等保、关保合规性要求,以及水利行业和针对工业控制系统的安全防护要求。
同时,针对愈演愈烈的勒索软件攻击,传统的单点防御早已捉襟见肘,威努特可提供体系化防勒索病毒方案,从产品、技术、组织与管理等维度,部署针对性防御措施,事前全面有效防御、事中精准检测阻击、事后高效恢复溯源,全方位提升业务连续性,不让勒索病毒有机可乘。
罗马尼亚事件清晰地表明,对于现代水利设施而言,真正的风险不仅是江河泛滥,更在于网络攻击引发的无形的洪涝。攻击工具合法化、攻击目标精准化、防御体系碎片化,攻击技术的进化速度已远超传统防御体系的迭代周期,水利机构必须将网络安全提升至与水利工程安全同等的战略高度,主动构筑能抵御未知风险的纵深防御体系,守护水利命脉就是守护国计民生的生命线。返回搜狐,查看更多