谛听工控安全月报 | 7月 - 新鲜讯息

国家网信办公布《数据出境安全评估办法》
美国在年度国防法案中推动关键基础设施保护
市场监管总局公布《关于开展网络安全服务认证工作的实施意见（征求意见稿）》
国家标准《信息安全技术信息安全管理体系概述和词汇》向社会征求意见
美国运输安全管理局（TSA）更新管道网络安全指令

工控安全相关事件

乌克兰最大的私人能源DTEK公司遭到网络袭击
微软已在数百个网络中发现Raspberry Robin蠕虫
以色列首都特拉维夫的地铁的网络遭到大规模攻击
印度洪水监测系统遭到勒索软件攻击
加拿大网络运营商Rogers大规模中断波及多个领域
法国电信运营商遭受Lockbit勒索软件攻击
立陶宛能源公司Ignitis Group遭到DDOS攻击
工业运营商遭遇特洛伊木马恶意软件攻击
美国罗得岛州下水道系统运营商遭受网络攻击
黑客组织Predatory Sparrow袭击伊朗钢铁工业
德国建材巨头Knauf被Black Basta勒索软件团伙袭击
NERC（北美电力可靠性公司）发布2022年可靠性报告
CISA上半年披露的数百个ICS漏洞
Moxa Nport设备存在高危漏洞可能会使关键基础设施面临风险

蜜罐数据分析

俄罗斯、乌克兰联网工控设备分析

工控安全相关政策

国家网信办公布《数据出境安全评估办法》

7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。

参考链接：

http://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm

美国在年度国防法案中推动关键基础设施保护

7月7日，美国国会在网络安全方面寻求修改年度国防政策立法，以包括对国家最重要的关键基础设施的网络保护。罗德岛州民主党人吉姆·朗格文是众议院武装部队小组网络小组委员会的主席，并在网络空间日光浴室委员会任职，他起草了一项修正案，以配合该委员会的建议，即加强对“系统重要性关键基础设施（SICI）”的防御。该修正案将该术语的定义与基础设施的关键与“国家关键职能”联系起来，联邦政府表示，对此，破坏关键基础设施“将对安全，国家经济安全，国家公共卫生或安全产生破坏性影响”。

参考链接：

https://www.cyberscoop.com/sici-defense-authorization-amendment-langevin/

市场监管总局公布《关于开展网络安全服务认证工作的实施意见（征求意见稿）》

7月21日，市监总局发布《关于开展网络安全服务认证工作的实施意见（征求意见稿）》，公开征求意见至8月21日。从事网络安全服务认证活动的认证机构应当依法设立，具备从事网络安全服务认证活动的专业能力，并经市场监管总局征求中央网信办、公安部意见后批准取得资质。网络安全服务认证机构应当公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态，并按照有关规定报送网络安全服务认证实施情况及认证证书信息。

参考链接：

https://www.samr.gov.cn/hd/zjdc/202207/t20220721_348831.html

国家标准《信息安全技术信息安全管理体系概述和词汇》向社会征求意见

7月22日，全国信息安全标准化技术委员会秘书处发布关于国家标准《信息安全技术信息安全管理体系概述和词汇》征求意见稿征求意见的通知，意见收集截止时间为2022年09月10日。该文件给出了信息安全管理体系（ISMS）概述，界定了ISMS标准族中常用的术语和定义，适用于所有类型和规模的组织（例如，商业企业、政府机构、非营利组织）。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220712170239531502&norm_id=20211108000020&recode_id=47494

美国运输安全管理局（TSA）更新管道网络安全指令

7月25日消息，美国运输安全管理局（TSA）更新了其关于石油和天然气管道网络安全的指令，为业主和运营商提供了更大的灵活性，以实现所述目标。最新版本的安全指令名为Security Directive Pipeline-2021-02C，于7月27日生效，并于2023年同一天到期，旨在通过为业主和运营商提供更大的灵活性来解决其中的许多问题。TSA表示，新规则是根据从行业收到的反馈制定的，侧重于“基于绩效而不是规范性措施，以实现关键的网络安全成果”。

参考链接：

https://www.securityweek.com/updated-tsa-pipeline-cybersecurity-requirements-offer-more-flexibility

工控安全相关事件

乌克兰最大的私人能源DTEK公司遭到网络袭击

7月1日消息，俄罗斯黑客组织XakNet可能针对乌克兰最大的私人能源DTEK公司发起网络攻击。据报道，攻击者的目的是破坏发电和配电公司的技术过程的稳定，破坏乌克兰的能源安全，以及通过国家宣传机构故意传播有关公司工作的虚假信息，从而使乌克兰消费者没有电。黑客组织声称进攻了DTEK的网络，并在电报应用程序上分享了大量屏幕截图作为证据。但与此同时，DTEK没有报告任何由此事件引起的故障投诉。

参考链接：

https://www.thetechoutlook.com/news/technology/security/pro-russian-hacking-group-xaknet-targets-ukraine-dtek-company/

微软已在数百个网络中发现Raspberry Robin蠕虫

7月2日消息，微软最近在来自各个行业的数百家组织网络中发现了蠕虫病毒Raspberry Robin（树莓知更鸟）。这种恶意软件通过受感染的USB设备传播，于2021年9月首次被Red Canary情报分析师发现。攻击者虽然成功通过这一病毒感染了大量机器，但目前未做出任何威胁使用者或是利用该漏洞获取敏感信息、部署勒索软件的行为。然而，考虑到这种蠕虫存在“进化”的的可能性，而且它目前传播得相当快实，微软已经将其标记为目前的高风险活动。

参考链接：

https://www.bleepingcomputer.com/news/security/microsoft-finds-raspberry-robin-worm-in-hundreds-of-windows-networks/

以色列首都特拉维夫的地铁的网络遭到大规模攻击

7月4日，伊朗法尔斯通讯社报道，以色列首都特拉维夫的地铁的操作系统和服务器遭到了大规模网络攻击。该机构后来又称，此次攻击实际上是针对一家参与特拉维夫地铁系统建设的公司。巴勒斯坦组织Sabareen通过其Telegram频道声称进行了攻击，根据该团伙的Telegram中其它的报道，伊拉克黑客团伙Al-Tahera也瞄准了以色列数字情报机构。

参考链接：

https://securityaffairs.co/wordpress/132897/hacking/tel-aviv-metro-company-attacked.html

印度洪水监测系统遭到勒索软件攻击

7月7日，据当地媒体报道，印度果阿邦的水资源部门（WRD）的洪水监测系统遭到勒索软件攻击，黑客要求支付加密货币以解密洪水监测站的数据。一直在维护数据的州政府水资源部表示，所有文件已被加密，无法再被访问。这次攻击发生在6月21日午夜12点至凌晨2点之间，在7月7日被曝光。

参考链接：

https://www.hindustantimes.com/india-news/ransomware-attack-hits-goa-s-flood-monitoring-system-demand-crypto-as-payment-101657186573577.html

加拿大网络运营商Rogers大规模中断波及多个领域

7月8日消息，加拿大网络运营商罗杰斯（Rogers）发生了大规模服务中断。DownDetector称，中断开始自美国东部时间早上5点左右，客户反映突然无法拨打电话或连接到互联网。联网监控组织NetBlocks表示，该事件导致加拿大的网络连接减少了25%。中断影响了加拿大的银行和金融交易，自动柜员机和信用卡交易无法正常工作，而部分地区的911服务也受到影响。截至7月9日上午8:00，Roger发布声明称，已为绝大多数客户恢复了服务，但仍然没有解释导致中断的原因。

参考链接：

https://www.bleepingcomputer.com/news/technology/massive-rogers-outage-disrupts-mobile-service-payments-in-canada/

法国电信运营商遭受Lockbit勒索软件攻击

7月10日消息，法国电信运营商La Poste Mobile遭到了Lockbit团伙的勒索攻击。该公司在其网站上发布的一份声明中写道，攻击始于7月4日，影响了其行政和管理服务。他们在获悉此事后立即采取必要的措施，关闭了相关计算机系统，包括网站和客户区。此外，员工计算机中的部分文件泄露，可能涉及个人数据。上周五，LockBit团伙已将La Poste Mobile添加到其数据泄露网站。La Poste Mobile是一家移动虚拟网络运营商，在法国拥有近200万客户，2021年收入超过5亿美元。它由法国邮政服务集团La Poste和法国电信公司SFR创立，并在SFR的网络上运营其移动服务。

参考链接：

https://www.infosecurity-magazine.com/news/ransomware-french-telecomes

立陶宛能源公司Ignitis Group遭到DDOS攻击

7月12日消息，立陶宛能源公司Igntis Group于7月9日遭受了所谓的“十年来最大的网络攻击”，当时许多分布式拒绝服务（DDoS）攻击针对它，扰乱了其数字服务和网站。亲俄黑客组织Killnet声称对攻击负责，这是该组织在对立陶宛发起的一系列攻击中的最近的一次，7月9日，Ignatis Group在Facebook上表示，公司目前已经能够管理和限制攻击对其系统的影响。然而，该帖子还透露，袭击仍在继续。

参考链接：

https://www.infosecurity-magazine.com/news/lithuanian-energy-ddos-attack/

工业运营商遭遇特洛伊木马恶意软件攻击

7月14日消息，Dragos研究人员发文表示发现了一种针对工业工程师和操作员的较小规模的技术。各种社交媒体网站上的多个帐户正在售卖可编程逻辑控制器（PLC），人机界面（HMI）和项目文件密码破解软件。该密码破解软件声称可解锁ABB、Allen Bradley、Automation Direct、富士电机、LG、Vigor、三菱、欧姆龙、松下、Pro-Face、西门子和Weintek的工业系统。买家可以通过运行卖家提供的针对特定工业系统的可执行文件来检索忘记的密码。然而该软件根本没有破解密码，相反，它利用了固件中的漏洞，允许它在命令上检索密码。此外，该软件是一个恶意软件植入程序，用Sality恶意软件感染机器，并将主机变成Sality僵尸网络的主机。

参考链接：

https://www.dragos.com/blog/the-trojan-horse-malware-password-cracking-ecosystem-targeting-industrial-operators/

美国罗得岛州下水道系统运营商遭受网络攻击

7月16日消息，普罗维登斯-纳拉甘西特湾委员会在普罗维登斯和黑石谷的部分地区运行下水道系统，其计算机系统最近受到对勒索软件攻击的袭击。该委员会的一位女发言人在7月15日晚上给《普罗维登斯日报》的一封电子邮件中承认了这次袭击。发言人表示这次袭击的主要方式对网络中某些计算机和系统的数据进行加密。虽然发言人并没有明确指向勒索软件攻击，但此类攻击通常的攻击方式为黑客加密受害者计算机系统上的数据，并拒绝提供密钥来解码数据，直到受害者向其支付赎金。

参考链接：

https://www.providencejournal.com/story/news/local/2022/07/16/ri-sewer-system-narragansett-bay-commission-hit-cyber-attack/10076978002/

黑客组织Predatory Sparrow袭击伊朗钢铁工业

7月16日，黑客组织Predatory Sparrow宣布对上个月发生的伊朗各钢铁厂遭到的网络袭击负全部责任，并在其Twitter账户上发布了第一批绝密文件。该小组发布的公司文件，揭示了钢铁厂与伊朗强大的伊斯兰革命卫队的联系。在声称对6月27日的袭击事件负责的同时，该组织还发布了一些照片和视频，表示伊朗最大的钢铁制造工厂之一国有Khouzestan钢铁公司的设备遭到损坏。尽管这家钢铁公司和伊朗政府都否认有任何严重影响，但消息人士称，这次袭击阻碍了工业运营。

参考链接：

https://www.cysecurity.news/2022/07/predatory-sparrows-assault-on-irans.html?utm_source=dlvr.it&utm_medium=twitters

德国建材巨头Knauf被Black Basta勒索软件团伙袭击

7月19日消息，德国建材巨头可耐夫（Knauf）集团宣布，它已成为网络攻击的目标，该攻击扰乱了其业务运营，迫使其全球IT团队关闭所有IT系统以隔离事件。据悉，网络攻击发生在6月29日晚上，目前，可耐夫仍在进行调查取证，事件处理和补救工作。虽然Knauf没有表明他们所遭受的网络攻击的类型，但恢复IT系统的持续时间，影响和难度表明这是一起勒索软件事件。名为Black Basta的勒索软件团伙已经在其勒索网站上发布公告宣布对这次攻击负责，并于7月16日将Knauf列为受害者。勒索软件团伙已经泄露了20%的被盗文件，超过350名访问者访问了这些文件。并非所有文件都已在线泄露的事实表明，威胁行为者仍有希望获得成功的谈判结果并获得赎金。

参考链接：

https://www.bleepingcomputer.com/news/security/building-materials-giant-knauf-hit-by-black-basta-ransomware-gang/

NERC（北美电力可靠性公司）发布2022年可靠性报告

7月20日消息，NERC(北美电力可靠性公司)当地时间16日提交了其2021年电力行业年度报告，主要强调需要继续专注于改善网络防御。此外，随着电网的发展和跨部门相互依存度的增加，行业必须适应威胁环境，在这种环境中，对手采用新策略、利用新漏洞以及潜在影响的规模正在发生变化。进入2022年，ERO(电力可靠性组织)企业将专注于解决提高大容量电力系统(BES)对广泛、长期和极端温度事件的弹性的四个风险要素，加强规划和运营重点，超越容量以实现能源充足，增强CIP标准的结构，包括审查和改进明线风险标准，并通过信息共享、通信和监控关键安全威胁来扩大E-ISAC的影响。NERC报告强调，在地缘政治事件、新漏洞、技术变化以及越来越大胆的网络犯罪分子和黑客活动家的引导下，网络安全格局继续演化。在过去几年中，NERC观察到恶意网络活动的频率和复杂程度大幅增加。

参考链接：

https://www.nerc.com/pa/RAPA/PA/Performance%20Analysis%20DL/NERC_SOR_2022.pdf

CISA上半年披露的数百个ICS漏洞

7月21日消息，根据工业资产和网络监控公司SynSaber进行的一项分析，美国网络安全和基础设施安全局（CISA）在2022年上半年披露了600多个工业控制系统（ICS）产品漏洞。值得注意的是，CISA不会针对所有公开披露的ICS缺陷发布公告，这意味着1月至6月期间披露的实际问题数量可能会更高。在681个CVE中，大约有13%没有补丁，可能永远不会被修复。超过22%的漏洞被分配了“严重”严重等级，42%的漏洞根据其CVSS评分被评为“高严重性”。

参考链接：

https://www.securityweek.com/hundreds-ics-vulnerabilities-disclosed-first-half-2022

Moxa Nport设备存在高危漏洞可能会使关键基础设施面临风险

7月28日消息，由Moxa制造并被广泛使用的工业连接设备NPort 5110中发现了两个潜在的高危漏洞，这些漏洞可能允许威胁行为者造成重大破坏，远程攻击者可以利用这些漏洞，导致目标设备进入拒绝服务（DoS）状态。目前公司宣布已经解决了这些缺陷。

参考链接：

https://www.securityweek.com/moxa-nport-device-flaws-can-expose-critical-infrastructure-disruptive-attack

蜜罐数据分析

“谛听”工控蜜罐在7月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。

图1展示了2022年7月份和6月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到，除Modbus协议、CIP协议蜜罐外，7月份各协议蜜罐受到的攻击数量均低于6月份的攻击数量。

图1. 7月份和6月份蜜罐各协议攻击量对比

（数据来源“谛听”）

图2展示了7月份和6月份攻击量最多的10个国家对比情况。从图中可以看到，7月份来自美国的攻击量跃居第一位。其他国家对蜜罐的攻击量较6月份均有所减少。

图2. 7月份和6月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，7月份来自北京市的流量最多，而来自宁夏回族自治区的流量保持在第二位。排名比较靠前的也大都是工业较发达的地区，部分省份流量有所波动。

图3. 7月份中国国内各省份流量（TOP10）

（数据来源“谛听”）

俄罗斯、乌克兰联网工控设备分析

俄乌战争已持续数月,战况依旧焦灼,这是一场持续不断的战争，其中也包括网络空间战争。战争爆发以来，乌克兰遭到的网络袭击事件大大增加，从民用和军事机构到通信和能源基础设施，各种领域都遭受了大范围的网络攻击。不仅如此，俄罗斯也处在网络攻击的威胁之下。为了能够了解俄罗斯和乌克兰的工控领域状况，团队进行了持续关注，并对两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。

2022年7月俄罗斯、乌克兰暴露工控设备相关协议

从图4乌克兰各协议暴露数量对比图中可以看出，7月探测到的数量与6月份相比，AMQP协议和XMPP协议数量小幅波动，其他协议数量保持持平。同时联网摄像头暴露数量也小幅波动，由2352降至2348。

图4. 6月、7月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，相较于6月，7月当中部分协议的数量有小幅变化。联网摄像头暴露数量由3179降至3068。后续团队将对相关信息持续关注。

图5. 6月、7月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）

扫码关注我们

微信号｜谛听ditecting