正文

转载|《2023工业控制系统安全报告》

admin
admin V管理员 /0 评论 /272 阅读
1115
此篇文章发布距今已超过374天,您需要注意文章的内容或图片是否可用!

近年来,随着信息技术的高速发展,工业控制系统(以下简称“工控系统”)逐渐与信息技术结合起来,向着开放互联、智能化的方向发展。工控系统在能源、钢铁、化工、装备工业、消费品工业、电子信息、国防军工、交通、水利、民用核设施等行业广泛应用。由于这些行业涉及社会运转的各类基础设施,如果相关行业遭受攻击,可能造成严重的影响。对此,天际友盟双子座实验室发布了《2023工业控制系统安全报告》,报告分为概述、工控安全相关漏洞数据统计、工业互联网安全重点事件、针对工控相关行业的黑客组织、针对工控设备恶意软件、常见攻击手法总结、总结七大章节,以下为部分节选内容。



概    述

本篇报告通过对2023年的工控安全漏洞数据进行统计,聚焦2023年工业互联网安全重点事件,追踪针对工控设备的组织及恶意软件,总结出了2023年截止目前工业互联网安全以及工控安全的特点:
(1)工控安全漏洞数量有所增加,高危漏洞占比增大,漏洞类型主要为输入验证不当;
(2)工业互联网安全事件频发,安全事件大多受到政治因素影响,造成的危害大,影响比较严重;
(3)随着全球政治局势的变化,黑客组织的攻击活动逐渐瞄准国家重点行业的工业控制系统;
(4)完全针对工业控制系统的恶意软件数量虽然不多,但被成功利用后往往造成极大危害。

工控安全相关漏洞数据统计
据天际友盟统计,截止2023年10月,本年新增367个工控安全漏洞,相比2022年同期增长了97个漏洞。其中高危漏洞211个,中危漏洞155个,低危漏洞1个。由于工控设备常与能源、基础设施重点行业有关,当相关行业的工控设备存在安全漏洞并且被攻击者利用时,攻击所造成的危害往往较为严重。


根据漏洞的CWE类型的统计,上述漏洞主要CWE分类如下图,其中前三类主要漏洞类型为输入验证不当、跨站脚本、越界写入。


漏洞数量最多的前五个厂商分别为思科、西门子、施耐德、罗克韦尔、台达电子,统计图如下:

漏洞涉及的思科的前五名产品名称分别为Cisco IOS XE、思科身份服务引擎、InfraSuite Device Master、ArmorStart ST、思科小型企业系列交换机,统计数据如下图:
根据上述统计数据可以看出,思科由于其产品众多,影响力大,应用范围广,且存在的已知漏洞较多,因此更容易成为攻击者重点关注的目标,其产品存在的漏洞数量远超其他厂商的漏洞数量。

工业互联网安全重点事件
2023年的工控安全事件主要因政治因素和经济动机而起,攻击者大多具有政府背景,遭受攻击的行业也常与关键基础设施有关,攻击目的多以窃取数据、中断运营为主。攻击手段主要为漏洞利用、木马后门、勒索攻击等多种方式。我们列举了2023年全球受到重点关注的工控攻击事件,涉及运输、能源、农业、汽车等多个行业。从这些事件不难看出,全球公开的工控攻击事件并没有详细披露攻击细节,侧面证明了工控相关行业攻击的复杂性和重要性。
  1. GhostSec黑客组织对白俄罗斯的工业远程终端单元进行攻击
  2. 多个品牌汽车中存在安全漏洞可进行远程控制与跟踪
  3. OPIsrael活动导致以色列灌溉系统停止运行
  4. Suncor遭到黑客攻击导致其公司大范围停电,影响加拿大多个城市的加油站
  5. 武汉地震数据采集设备被植入后门程序
  6. 日本名古屋港口遭受勒索攻击
针对工控相关行业的黑客组织
针对工控相关行业的攻击整体呈现增长趋势,随着全球政治局势的变化,具有政府背景的黑客组织越来越多,比如朝鲜支持的黑客组织Kimsuky、印度支持的WhiteElephant等,并且开始瞄准国家重点行业,如能源、电力、卫星、工业控制系统等,天际友盟对近期针对工控相关行业攻击活动中比较活跃的三个黑客组织进行了追踪:CHERNOVITE、GhostSec、Chrysene。
针对工控设备的恶意软件
自从震网病毒出现后,针对工控设备的恶意软件逐渐走进人们的视野。该类恶意软件的特点是数量少,危害大。目前公开的恶意软件多用于针对电力设施。本报告挑选了三个有代表的危害性比较大的恶意软件进行介绍,分别是COSMICENERGY、PIPEDREAM、INDUSTROYER。
常见攻击手法总结
针对工控系统的初始网络攻击常用手法如下:
社会工程学
社会工程学是利用人性薄弱点进行攻击的一种手段,攻击者可通过该手段收集目标信息从而发起攻击活动。信息来源渠道包括目标官网、APP应用、公众号、小程序等。

利用信息收集工具获取信息
攻击者可以通过企业信息查询工具获取厂商信息,通过fofa、shodan等测绘工具收集目标的资产信息, 通过Nmap、御剑等各类安全工具收集目标资产的更详细信息。

钓鱼攻击(鱼叉式钓鱼攻击)
钓鱼攻击作为最为广泛的攻击手段,同样也被工控攻击所利用,主要用作初始诱饵的投递。

利用已知或零日漏洞
攻击者常常会收集已公开漏洞的利用载荷,整理制作成攻击工具。一些高级黑客还会针对某些常用产品进行安全研究,试图掌握尚未被人所知的零日漏洞并大肆利用。通过漏洞利用,攻击者往往可以获得主机的远程访问权限。

部署木马后门
攻击者在获得主机的访问权限后,将会通过部署远控木马或者设置后门的方式进一步扩大其操控权限,对工业控制系统进行渗透,造成数据窃取和运行中断。
除了以上攻击方式外,攻击者中还存在一类以盈利为目的的勒索软件组织,这些团伙的攻击行业范围非常广泛,而工控行业涉及到民生产业的很多重要基础设施,当勒索攻击成功后,攻击者往往通过多重勒索的方式索要高额赎金。
此外,拥有政治背景的攻击者在攻击过程中还具有擦除痕迹、加强隐蔽性的特点,这类攻击者的目标多以长期潜伏窃取机密信息为主。
(文章来源:天际友盟



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网