2025年度工业领域典型网络安全事件回顾及启示
在刚刚过去的2025年,工业数字化进程持续加速,然而一系列网络攻击事件屡屡为关键信息基础设施与制造业按下“暂停键”。从印度电网大规模瘫痪,到委内瑞拉石油出口系统中断;从铁路控制系统暴露致命漏洞,到联网汽车可被远程操控——网络攻击已超越虚拟空间,直接冲击现实世界的电力、能源、交通与生产体系。攻击目标也不再局限于数据窃取,而是转向针对业务运行、公共安全乃至国家经济命脉。今天,就让我们来回顾工业领域2025年都发生了哪些典型的网络安全事件,并探讨面向未来的安全防御理念与能力建设方向。
01 2025年度工业领域典型网络安全事件回顾 加拿大新斯科舍电力公司遭勒索攻击 2025年3月19日,加拿大新斯科舍电力公司遭勒索软件攻击,攻击者未经授权访问其商业网络系统。该公司拒绝支付赎金,之后攻击者将约28万名客户的个人信息和银行账户等敏感数据泄露并被发布至暗网。攻击同时使电表读数无法自动传回,公司被迫派抄表员入户读取数据以恢复计费,电表通信瘫痪情况维持了几个月。 乌克兰铁路公司服务器遭网络攻击瘫痪 2025年3月,乌克兰铁路公司的服务器遭遇大规模网络攻击,导致其在线售票等系统瘫痪,该公司是乌克兰最大的国有企业,其铁路货运量占全国陆路货运量的82%。好在公司随后启动备用系统,并增开线下售票窗口满足出行需求 ,列车运行保持稳定,未出现晚点。 俄罗斯国有铁路(RZD)遭遇DDoS攻击 2025年4月2日,俄罗斯国有铁路公司(RZD)的网站和移动应用程序因遭受分布式拒绝服务攻击而暂时无法使用,导致用户无法在线购票。不久后,莫斯科地铁系统的网站和应用也受到了攻击,一周内俄罗斯交通部门连续两次遭遇网络安全事件影响。 森萨塔科技遭遇勒索攻击 森萨塔科技(Sensata Technologies)是一家年产值超过40亿美元的传感器与控制器制造商。该公司在2025年4月6日遭受勒索软件攻击,设备被加密,并伴有数据窃取。攻击导致发货、供应链、制造生产以及其他支持职能的运营受到影响。遭受攻击后,公司主动将网络下线,隔离受影响的系统,启用备用机器尽快恢复生产。6月下旬确认攻击者窃取了包含员工个人信息等大量敏感数据。 纽柯钢铁遭遇勒索攻击 纽柯钢铁(Nucor)是美国最大的钢铁生产巨头,营收超过300亿美金。该公司在2025年5月中旬披露遭遇网络安全事件,被迫关闭部分网络系统,导致多个生产基地暂时停工。公司未披露详细的攻击细节,只确认受到攻击的未授权第三方访问IT系统,在之后的进一步调查后,6月下旬证实攻击者窃取了公司数据。 印度电网瘫痪 2025年5月10日凌晨4点,巴基斯坦军方发起“铜墙铁壁”网络行动攻击印度电网。攻击者通过钓鱼邮件利用设备漏洞渗透,并利用智能电表释放蠕虫。通过未加密的通信协议,攻击者篡改发电参数,触发百余座变电站断路器断开。同时,操控数百万智能家居制造用电峰值施压。此次攻击导致印度北方、西部电网及新德里供电系统崩溃,约8亿人口受影响,孟买证交所暂停交易,铁路网络严重延误。 美国铁路货运系统暴严重漏洞,可远程控制列车制动系统 2025年7月,美国CISA披露了编号CVE-2025-1727的高危漏洞,影响美国货运列车使用的FRED(闪烁尾部装置)通信协议。该协议采用脆弱的BCH校验和进行认证,攻击者可使用成本约500美元的软件定义无线电(SDR)设备,在列车通信信号范围内伪造数据包,远程发送未经授权的制动指令,可能导致列车急停甚至脱轨。漏洞公开警告后,美国铁路协会承诺将采用更安全的802.16t协议替代老旧系统,预计最早2027年可以全部部署,目前仅能通过隔离关键控制网络来缓解。 起亚车载系统漏洞曝光,可被远程控制车辆 2025年7月的Hardware.io安全大会上,安全研究员Danilo Erazo演示了起亚部分车型的车载系统存在的安全漏洞。漏洞存在于系统所使用的RTOS固件中,编号为CVE-2020-8539。攻击者首先可以激活系统中的“micomd”守护进程,并向其中注入恶意指令,然后伪造CAN总线数据帧,通过M-CAN总线将这些指令传送到刹车、转向、空调等关键控制模块,从而实现对车辆的远程操控。并且系统在处理图片时未进行签名验证,在固件完整性校验方面也存在明显缺陷。只要成功连接上该车型,攻击者可以远程操控车辆行驶,甚至诱骗车主泄露账号密码等重要信息。 捷豹路虎汽车遭勒索导致系统瘫痪 2025年8月底到10月初,捷豹路虎遭遇名为“Scattered Lapsus$ Hunters”的黑客组织网络攻击,攻击者利用SAP NetWeaver(CVE-2025-31324)远程执行漏洞入侵内部网络,部署勒索软件并窃取部分数据,导致全球IT系统被迫关闭,生产、销售、售后服务全面瘫痪,33000名员工被安排休假,财务损失达1.96亿英镑。10月8日完成重启,恢复生产。 委内瑞拉原油码头系统离线 2025年12月15日,委内瑞拉国家石油公司(PDVSA)宣称其行政管理系统遭遇勒索软件攻,用于尝试修复问题的防病毒软件反而影响了整个管理系统,导致主要原油码头系统离线,货物交付受阻。事件发生时,美委关系紧张,美国近期扣押了一艘委内瑞拉油轮。PDVSA指责此次攻击由“外国势力”策划,意图破坏其能源主权。 02 深层思考与未来防御启示 回顾2025年,一系列针对关键信息基础设施和制造业的精准打击清晰地揭示了工业领域网络攻击的三大趋势: 攻击意图从“窃取”转向“瘫痪” 攻击者追求的不再仅是数据变现,而是直接制造物理停工、服务中断和社会混乱,以达到政治或经济博弈的目的。 攻击路径从“单点”转向“体系” 攻击链融合社会工程、IT漏洞、OT协议缺陷、物联网设备滥用等多维手段,进行协同打击,防御方任何一环的短板都可能导致全局失守。 影响范围从“企业”蔓延至“社会” 单个企业的安全事件,可能通过供应链、公共服务和金融市场产生广泛的连锁反应,成为公共安全事件。 面向未来,构建能够应对复杂威胁的工业网络安全体系,已成为保障社会运行与经济稳定的必然要求。这要求防御思路从单点被动防护,转向体系化、智能化、与业务深度融合的主动防御。具体而言,工业企业应围绕以下三个层面展开能力建设: (1)聚焦工业协议与业务逻辑的精准防护 工业控制系统的安全性高度依赖于对专用通信协议的深度理解与异常控制。有效的防护应能解析Modbus、S7、Profinet、IEC-104等关键工业协议的语义,并基于合法的工艺参数范围与操作指令序列建立白名单模型,从而在指令层面实现对恶意篡改的拦截,保障控制信号的完整性。 长扬科技工控安全产品具备协议级深度防护能力。可实现从网络端口到协议功能的细粒度访问控制,能够对超过十种主流工业协议进行深度包检测与上下文感知,管控粒度可精确到具体操作指令与参数阈值,为核心生产控制网提供与业务流程紧密结合的安全屏障。 长扬科技工控网络安全能力模型框架 (2)构建覆盖全域的智能安全运营体系 现代工业网络攻击具有复杂性和隐蔽性,防御方需要具备跨IT与OT环境的统一监控、关联分析与快速响应能力。这要求构建一个能够整合资产发现、漏洞管理、威胁检测和事件响应的安全运营平台,并利用大数据分析与机器学习技术提升威胁发现的准确性和响应自动化水平。 在智能安全运营方面,长扬科技工业互联网安全态势感知平台基于大数据架构构建,集成了多维度分析引擎与自动化响应(SOAR)模块,能够对工业网络中的资产、行为、漏洞及威胁事件进行关联分析与可视化呈现,并内置多种机器学习模型用于异常检测与攻击链分析,旨在为集团级企业提供集中化的安全监控与运营决策支持;通过融合人工智能技术,持续深化对工控行为与业务逻辑的理解,推动威胁检测向更精准、更智能的方向进化。 长扬科技工业互联网安全态势感知平台功能架构 (3)强化基于实战模拟的能力验证与持续提升 安全策略与产品的有效性需在近似真实的环境中反复验证。通过构建高仿真、可定制的工业靶场,企业能够在无风险的环境中对安全架构进行测试,开展攻防演练以检验应急预案,并系统化地培养和提升安全团队的技术能力,从而将理论知识转化为实战经验。 针对这一需求,长扬科技开发了基于云计算与虚实结合技术的工业安全靶场,能够模拟电力、石油石化、智能制造等多个关键行业的真实生产环境与网络拓扑,并结合公司安全研究院对主流工控设备的漏洞研究成果,为客户提供一个用于技术验证、方案评估、攻防演练及人员培训的高效平台,助力安全能力的闭环建设与持续迭代。 长扬工业安全靶场功能架构 03 结语 工业数字化不可逆转,网络威胁亦如影随形。2025年的每一次“暂停”,都是一次沉重的警醒。安全不再是可选项或成本中心,而是保障生产连续性、维护公共安全、支撑经济稳定的核心生产力和战略资产。面向未来,唯有以体系化的思维,构建内生于工业系统的、持续演进的安全能力,方能在数字浪潮中行稳致远。长扬科技将持续深耕工业互联网安全领域,以可靠的产品、专业的服务与前沿的探索,携手工业企业共筑可知、可管、可防的工业安全未来。
