谛听工控安全月报 | 11月 - 新鲜讯息

CISA成立美国化工行业网络安全工作组
《信息安全技术网络安全服务能力要求》征求意见稿发布
《信息安全技术关键信息基础设施网络安全应急体系框架》征求意见稿发布
CISA发布新版《基础设施弹性规划框架》

工控安全相关事件

美国财政部再次阻止亲俄黑客组织Killnet的DDoS攻击
“海莲花”组织运营的物联网僵尸网络Torii分析
CISA警告3个工控软件系统存在严重漏洞
网络攻击使丹麦最大铁路公司火车全部停运
俄罗斯LockBit勒索软件运营者在加拿大被捕
黑客利用更新的DTrack后门攻击欧洲和拉丁美洲
美国财政部制裁负责俄罗斯军队的沙赫德系列无人机的公司
Hive勒索软件团伙向1300多家公司勒索1亿美元
美国航天网络漏洞导致航天设备容易发生故障
黑客利用停更的Boa Web Server软件漏洞攻击关键行业
BMC固件漏洞使OT、IoT设备面临远程攻击
欧洲议会在宣布俄罗斯为恐怖主义后遭遇Killnet的网络攻击
俄罗斯的RansomBoggs勒索软件针对多个乌克兰实体
Vedere实验室发现影响德国公司Festo和CODESYS的OT产品漏洞

蜜罐数据分析

俄罗斯、乌克兰联网工控设备分析

工控安全相关政策

CISA成立美国化工行业网络安全工作组

11月10日消息，美国政府于10月底启动保护化工行业工控系统网络安全的《化学品行动计划》，要求化工行业依据该计划在未来100天内评估其当前网络安全实践。《化学品行动计划》呼吁将重点放在存在重大化学品泄漏危险的高风险化学品设施上，最终目标是支持整个化工行业增强工业控制系统网络安全。根据白宫发布的情况说明书，鉴于大多数美国化工公司都是私营企业，私营部门与政府之间需要采取合作方式。主要化工企业和相关政府牵头机构——网络安全和基础设施局(CISA)已就化工行动计划达成一致，以提高整个行业的网络安全标准，包括为工控系统提供可见性和威胁检测的能力。此外，该机构和协调委员会还将合作鼓励更多的化工企业部署网络安全监控工具，帮助公司检测实际运行其物理机器的系统上的异常活动。

参考链接：

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/26/fact-sheet-biden-harris-administration-expands-public-private-cybersecurity-partnership-to-chemical-sector/

《信息安全技术网络安全服务能力要求》征求意见稿发布

11月9日，全国信息安全标准化技术委员会秘书处发布《信息安全技术网络安全服务能力要求》（征求意见稿），并向社会公开征求意见，截止时间为12月9日。该文件对网络安全服务机构提供网络安全服务应具备的能力提出具体要求。适用于指导网络安全服务机构开展网络安全服务能力建设，以及评价网络安全服务机构的能力水平，也可为政务部门、关键信息基础设施运营者选用网络安全服务机构时提供参考。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221109183605&norm_id=20221101145108&recode_id=49391

《信息安全技术关键信息基础设施网络安全应急体系框架》征求意见稿发布

11月17日，全国信息安全标准化技术委员会秘书处发布《信息安全技术关键信息基础设施网络安全应急体系框架》（征求意见稿），并向社会征求意见，截止时间为2023年1月16日。征求意见稿给出了关键信息基础设施网络安全应急体系框架，包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。该文件将适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动，也可供关键信息基础设施安全保护的其他相关方参考。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221117111713&norm_id=20201104200013&recode_id=49437

CISA发布新版《基础设施弹性规划框架》

11月22日，美国网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）发布了针对各州和地区的网络安全保卫者的最新指南，以保护美国各地的基础设施。基础设施弹性规划框架（IRPF）创建于2021年，旨在帮助网络安全专家制定攻击计划，以保护关键基础设施和增强弹性。具体包括：沟通并了解并相关州及地区所辖范围关键基础设施的安全弹性，提高其网络安全保护能力；明确影响各州及地区关键基础设施正常运行可能存在的安全威胁；为政府和运营商等提供抵御和适应网络安全威胁的能力；在规划和投资决策中将关键基础设施安全和考虑在内；对各州、及地区关键基础设施快速恢复到正常功能的指导。新版框架还附带一份新指南，里边概述了相关风险可能对基础设施系统产生的直接或间接影响及示例，还有可用于评估和缓解相关风险的联邦资源。

参考链接：

https://www.cisa.gov/sites/default/files/publications/Infrastructure-Resilience%20Planning-Framework-%28IRPF%29%29.pdf

工控安全相关事件

美国财政部再次阻止亲俄黑客组织Killnet的DDoS攻击

11月2日，美国财政部再次阻止了俄罗斯黑客组织Killnet的分布式拒绝服务(DDoS)攻击。俄罗斯黑客组织Killnet声称对2022年10月10日十几个美国机场的网站下线负责。但大规模DDoS攻击并未中断航空旅行或对机场造成任何运营损害。10月11日，俄罗斯黑客组织Killnet又声称他们在摩根大通释放了另一支机器人大军。据路透社称，Killnet的DDoS攻击对该机构的运营工作没有造成任何影响。同样在10月，Killnet声称对关闭科罗拉多州、肯塔基州、密西西比州和其他州的美国州政府网站负责。美国财政部报告表明，勒索软件继续对美国关键基础设施、企业和公众构成重大威胁，并且大量勒索软件攻击似乎与俄罗斯的来源有关。

参考链接：

https://www.theregister.com/2022/11/02/killnet_us_treasury_ddos/

“海莲花”组织运营的物联网僵尸网络Torii分析

11月2日，微步在线研究响应中心发布研究报告，对“海莲花”组织运营的物联网僵尸网络Torii进行了分析。“海莲花”，又名APT32和OceanLotus，是疑似越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。Torii木马最早由国外安全厂商Avast在2018年所披露，这表明Torii僵尸网络至少在2018年就开始部署，而后在2021年国内友商披露的RotaJakiro（双头龙）和Torii也存在相似的代码设计思路。攻击者利用1Day、NDay漏洞攻击国内外的IoT设备，且使用Torii长期控制，受害设备类型至少包括：三星、Vigor、Draytek路由器和物联网摄像头等。微步认为Torii僵尸网络是由“海莲花”组织所实际控制运营的，并且用于APT作战活动中。

参考链接：

https://app.ma.scrmtech.com/resources/ResourcePc/ResourcePcInfo?pf_uid=15831_1728&id=37424&source=1&pf_type=3&channel_id=28416&channel_name=%E5%BE%AE%E6%AD%A5%E5%AE%98%E7%BD%91-%E6%8A%A5%E5%91%8A%E9%A1%B5&tag_id=f73e5071434d81b6

CISA警告3个工控软件系统存在严重漏洞

11月3日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）的公告。第一个公告涉及ETIC电信，包括一个源于远程访问服务器（RAS）网络门户无法验证固件的真实性，从而为攻击者提供后门权限的漏洞（CVE-2022-3703，CVSS评分：9.0）。另外两个漏洞与RAS API中的目录遍历（CVE-2022-41607，CVSS评分：8.6）和文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被用来读取任意文件和上传恶意文件，从而破坏设备。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中修复了这些漏洞。第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个漏洞（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），三个漏洞在CVSS中评分都为8.4分。CISA指出，成功利用这些漏洞可能导致运行任意恶意程序，或运行修改过的诺基亚程序。诺基亚已经发布了影响ASIK 474021A.101和ASIK 474021A.102版本的漏洞的缓解说明。建议用户联系诺基亚以获得更多信息。第三个公告公布了台达工业自动化公司的DIALink产品的一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1），可被利用来在目标设备上植入恶意代码。该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。

参考链接：

https://www.cisa.gov/uscert/ncas/current-activity/2022/11/03/cisa-releases-three-industrial-control-systems-advisories

网络攻击使丹麦最大铁路公司火车全部停运

11月5日，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复，原因是铁路供应商遭受网络攻击后关闭了服务器。遭受攻击的是丹麦公司Supeo，该公司是专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息，关闭服务器后，该应用停止工作，司机们只能被迫停车，最终引发了列车运营中断。

参考链接：

https://www.securityweek.com/cyberattack-causes-trains-stop-denmark

俄罗斯LockBit勒索软件运营者在加拿大被捕

11月10日，欧洲刑警组织宣布逮捕一名与针对全球关键基础设施组织和知名公司的LockBit勒索软件攻击有关的俄罗斯国民。2022年10月，法国国家宪兵队在欧洲刑警组织的欧洲网络犯罪中心(EC3)、美国联邦调查局（FBI）和加拿大皇家骑警(RCMP)的帮助下，在加拿大安大略省逮捕了该嫌疑人。该嫌疑人是一名33岁的俄罗斯国民，据怀疑他部署了LockBit勒索软件，对世界各地的关键基础设施和大型工业集团进行攻击。执法人员还从嫌疑人家中查获了8台电脑和32个外置硬盘、两把枪支和价值40万欧元的加密货币。

参考链接：

https://www.bleepingcomputer.com/news/security/russian-lockbit-ransomware-operator-arrested-in-canada/

黑客利用更新的DTrack后门攻击欧洲和拉丁美洲

11月15日，卡巴斯基研究人员Konstantin Zykov 和Jornt van der Wiel在一份报告中表示，黑客正在使用更新版本的DTrack后门攻击德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的行业。DTrack是一个模块化后门程序，具有记录键盘输入、捕捉屏幕、检索浏览器历史记录、查看运行进程、IP地址和网络连接信息等功能。除了间谍活动，它还可以运行命令来执行文件操作、获取其他有效负载、窃取文件和数据以及在受感染设备上执行程序。DTrack允许犯罪分子上传、下载、启动或删除受害主机上的文件。通过受害者研究发现恶意软件正在向欧洲和拉丁美洲扩张。恶意软件的目标行业是教育、化学制造、政府研究中心和政策机构、IT服务提供商、公用事业提供商和电信公司。

参考链接：

https://securelist.com/dtrack-targeting-europe-latin-america/107798/

美国财政部制裁负责俄罗斯军队的沙赫德系列无人机的公司

11月15日，美国财政部外国资产控制办公室（OFAC）正在制裁参与生产或正在向俄罗斯转让伊朗无人机的公司，俄罗斯曾使用这些无人机对乌克兰民用基础设施进行毁灭性袭击。OFAC指定了沙赫德航空工业研究中心，因为该公司负责设计和生产俄罗斯军队在乌克兰使用的沙赫德系列无人机。OFAC还将目标对准了总部位于阿联酋的航空运输公司Success Aviation Services FZC和i Jet Global DMCC，他们也曾促进伊朗无人机向俄罗斯的转移。美国国务院同时根据行政命令（E.O.）制裁俄罗斯私营军事公司“瓦格纳”（PMC Wagner）和伊朗伊斯兰革命卫队航空航天部队（IRGC ASF）和圣城航空工业公司。

参考链接：

https://home.treasury.gov/news/press-releases/jy1104

Hive勒索软件团伙向1300多家公司勒索1亿美元

11月17日，美国联邦调查局（FBI）表示，自2021年6月至2022年11月，Hive勒索软件团伙已成功向全球1300多家公司勒索约1亿美元。勒索软件遵循“勒索软件即服务”(RaaS)模型，开发人员在该模型中创建、维护和更新恶意软件，并由附属机构进行勒索软件攻击。受害者包括来自广泛行业和关键基础设施部门的组织，例如政府设施、通信和信息技术，重点是医疗保健和公共卫生(HPH)实体。

参考链接：

https://www.cisa.gov/uscert/ncas/alerts/aa22-321a

美国航天网络漏洞导致航天设备容易发生故障

11月17日，美国密歇根大学和美国国家航空航天局的研究人员表示，美国航天网络的某个协议存在漏洞导致航天设备容易发生故障。该网络协议用于安全地共享航天器、飞机和关键基础设施软件中的关键消息。该协议被称为时间触发以太网（TTE），通过允许多个设备使用同一网络而不会相互影响，从而降低了关键基础设施设备实现网络的成本。带有恶意代码的单个设备可以破坏航天器、飞机和工业控制系统使用的网络协议，从而导致不可预测的操作和可能的故障。

参考链接：

https://www.darkreading.com/ics-ot/spacecraft-failure-vulnerability-thanks-to-networking-bug

黑客利用停更的Boa Web Server软件漏洞攻击关键行业

11月22日，微软发布报告称，已有黑客利用停更的Boa Web Server软件漏洞攻击能源组织。微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。尽管Boa Web Server在2005年就已停止更新，但它仍被广泛应用，并由此掀起一轮新的危机。微软报告称，恶意黑客试图利用Boa Web Server的多个漏洞，包括一个任意文件访问漏洞（CVE-2017-9833）和一个高危级别的信息泄露漏洞（CVE-2021-33558），如果成功利用这些漏洞，黑客组织可能会读取任意文件、获取敏感信息并远程执行代码。微软表示，“在关键基础设施网络中，恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起，黑客方就能引发更大影响，甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软最初发现这个易受攻击的组件，就是在调查一起针对印度电网的入侵事件中。由于持续观察到针对Boa漏洞的攻击，微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

参考链接：

https://www.microsoft.com/en-us/security/blog/2022/11/22/vulnerable-sdk-components-lead-to-supply-chain-risks-in-iot-and-ot-environments

BMC固件漏洞使OT、IoT设备面临远程攻击

11月22日，工业网络安全公司Nozomi Networks的研究人员在底板管理控制器(BMC)固件中发现了十多个漏洞。BMC是一种专用处理器，允许管理员远程控制和监视设备，而无需访问操作系统或设备上运行的应用程序。BMC可用于重启设备、安装操作系统、更新固件、监控系统参数和分析日志。过去几年发现了许多BMC漏洞，研究人员警告说，利用这些漏洞可以让远程攻击者危害甚至损坏目标服务器。但是，许多研究都集中在IT服务器上。Nozomi Networks的研究针对的是用于运营技术（OT）和物联网设备的BMC。受影响的扩展卡上运行的固件是基于AMI的BMC远程管理固件，该固件被华硕、戴尔、惠普、联想、技嘉和Nvidia等科技巨头使用。这家网络安全公司表示，Lanner已经创建了补丁来解决这13个漏洞，但指出它在分析过程中也发现了其他漏洞，这些漏洞仍在修复过程中。

参考链接：

https://www.nozominetworks.com/blog/vulnerabilities-in-bmc-firmware-affect-ot-iot-device-security-part-1/

欧洲议会在宣布俄罗斯为恐怖主义后遭遇Killnet的网络攻击

11月23日，欧洲议会的网站关闭了大约一个小时，亲俄黑客组织Killnet以分布式拒绝服务（DDoS）攻击了该网站。此次攻击发生在欧洲议会发表声明指定俄罗斯为支持恐怖主义的国家几个小时后。该声明认为，俄罗斯对乌克兰基础设施、学校和医院的袭击违反了国际法。最近几周，俄罗斯加大了对能源基础设施的炮击力度，迫使数百万乌克兰人进入冬季天气寒冷时断电。欧洲议会团队正在努力尽快解决这个问题。在Telegram群组中，亲俄黑客组织Killnet吹捧他们对该网站的攻击，并明确表示是由于恐怖主义声明而发起的。

参考链接：

https://therecord.media/european-parliament-faces-cyberattack-from-pro-russia-group-after-terrorism-declaration/

俄罗斯的RansomBoggs勒索软件针对多个乌克兰实体

11月25日，斯洛伐克网络安全公司ESET表示，乌克兰遭受了新的勒索软件攻击，这些攻击归因于俄罗斯沙虫民族国家组织的入侵。斯洛伐克网络安全公司ESET将新型勒索软件称为RansomBoggs，该公司表示，针对多个乌克兰实体的攻击是在2022年11月21日首次发现的。根据乌克兰计算机应急响应小组（CERT-UA）的说法，名为POWERGAP的PowerShell脚本被用来部署名为CaddyWiper的数据擦除恶意软件，使用名为ArguePatch（又名AprilAxe）的加载程序。ESET对新勒索软件的分析表明，它会随机生成一个密钥，在CBC模式下使用AES-256加密文件，并附加“.chsch”文件扩展名。

参考链接：

https://thehackernews.com/2022/11/russia-based-ransomboggs-ransomware.html

Vedere实验室发现影响德国公司Festo和CODESYS的OT产品漏洞

11月29日，Vedere实验室披露了三个影响运营技术（OT）产品的漏洞，分别来自两家德国公司：工厂自动化制造商Festo和自动化软件公司CODESYS。网络安全公司Forescout的研究人员表示，其中的两个漏洞影响Festo自动化控制器，一个影响CODESYS软件，包括Festo在内的不同工业领域的数百家设备制造商都在使用该软件。这些漏洞影响供应链中的数百种工业设备。最严重的一种是拒绝服务，并且很容易执行，通过访问隐藏的网页或使用基于文本的浏览器工具即可。这三个漏洞是影响CODESYS V3的CVE-2022-4048（CVSS评分：7.7）以及影响Festo自动化控制器的CVE-2022-3079（CVSS评分：7.5）和CVE-2022-3270（CVSS评分：9.8）。Forescout研究人员表示，针对这些漏洞的保护需要修补运行易受攻击固件的设备，将它们替换为较新的设备或更改默认配置。研究人员还建议公司创建易受攻击的设备清单并实施分段控制，隔离无法立即修补的工具，监控网络中的异常流量。

参考链接：

https://www.forescout.com/blog/oticefall-continues-vedere-labs-discloses-three-new-vulnerabilities-affecting-ot-products-how-to-mitigate/

蜜罐数据分析

“谛听”工控蜜罐在11月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。

图1展示了2022年11月份和10月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到，11月份IEC104、CIP、S7协议蜜罐受到的攻击数量略低于10月份受到的攻击数量，除此以外11月份各协议蜜罐受到的攻击数量都高于10月份受到的攻击数量。

图1. 11月份和10月份蜜罐各协议攻击量对比

（数据来源“谛听”）

图2展示了11月份和10月份攻击量最多的10个国家对比情况。从图中可以看到，11月份来自美国的攻击量明显上升但稳居第一位，此外相比10月份除了来自英国的攻击量有所下降，其他国家对蜜罐的攻击量均有所上升。

图2. 11月份和10月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，11月份来自山西的流量最多，来自北京的流量位居第二，而来自浙江的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区，有些省份因新冠疫情造成的停工停产导致流量有所波动。

图3. 11月份中国国内各省份流量（TOP10）

（数据来源“谛听”）

俄罗斯、乌克兰联网工控设备分析

俄罗斯乌克兰紧张局势已持续大半年多，近期进入到了最为关键的阶段，也是各方都想趁机争夺主动权的阶段。全球经济通货膨胀、英国经济下行，欧洲迫在眉睫的能源危机，全球气候变暖等系列问题都在困扰着全球。在越来越多的共同性问题爆发出来，并且给世界带来麻烦时，结束俄乌冲突从而以最快的速度平息冲突造成的影响，进而让各国腾出手来共同解决全球性难题，也成为了世界上绝大多数国家的共同愿望。为了能够了解俄罗斯和乌克兰的工控领域状况，团队进行了持续关注，并对两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。

2022年11月俄罗斯、乌克兰暴露工控设备相关协议

从图4乌克兰各协议暴露数量对比图中可以看出，11月探测到的数量与10月份相比，各协议均有不同程度的波动。其中，AMQP协议具有明显的降幅。同时联网摄像头暴露数量也大幅降低，由2026降至1532。

图4. 10月、11月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，相较于10月，11月当中大部分协议均有小幅的降低，小部分协议保持持平，CoDeSyS协议有所增加。联网摄像头暴露数量由2786降至2691。后续团队将对相关信息持续关注。

图5. 10月、11月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）

扫码关注我们

微信号｜谛听ditecting