谛听 工控安全月报 | 10月

d

i

t

ec

t

i

n

g

10月31日，工信部印发《工业和信息化领域数据安全事件应急预案（试行）》（下称《应急预案》）。工信部指出，当前，数据已成为数字经济时代最为活跃的新型生产要素。随着数字化转型步伐加快，新型工业化发展加速推进，数据规模急剧增长，数据流动情况愈发频繁复杂，伴随而来的数据安全风险事件时有发生，亟需加快构建数据安全事件应急管理体系，提升事件处置水平。《应急预案》的编制目的，是建立健全工业和信息化领域数据安全事件应急组织体系和工作机制，提高数据安全事件综合应对能力，确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失，保护个人、组织的合法权益，维护国家安全和公共利益。

参考链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_a5a0cf8110354f1499604ea7181bc619.html

10月15日，工业和信息化部办公厅印发《工业互联网与电力行业融合应用参考指南（2024年）》（下称《指南》）。当前，我国工业互联网与电力行业均取得显著发展，但也面临着诸多挑战。《指南》旨在解决电力企业在应用工业互联网时面临的问题，为其提供实践路径。指南涵盖现状需求、总体设计、应用场景、网络融合、标识融合、平台融合、数据融合、安全融合及组织实施等内容。《指南》详细分析了两行业融合的现状与需求，设计了总体架构，并梳理出八大应用模式、27 类应用领域、85 项具体场景。同时，《指南》对网络、标识、平台、数据、安全等方面的融合应用提出了具体方案，明确了基本原则、实施流程和要素保障，以确保融合工作顺利推进。《指南》的发布，将有力促进工业互联网与电力行业的融合发展，提升电力企业数字化、智能化、绿色化水平，推动新型电力系统建设和工业互联网创新发展。

参考链接：

https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20249/7d9030c7509741a0a3b3c14611634965.pdf

10月30日，国家能源局发布关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展的通知（下称《通知》）。《通知》指出，要科学界定涉网安全管理范围，对存量新能源和新型并网主体制定改造方案。电力调度机构应优化管理服务，加强对并网主体的专业培训与技术监督，严格审核涉网性能报告。新能源和新型并网主体需对照标准建设，避免 “带病入网”。在涉网参数管理方面，规范流程，加强建模及参数实测管理，落实复测要求。同时，优化并网接入服务，评估接入电网安全风险，执行并网调度协议管理，强化并网接入过程管控。此外，强化并网运行管理，建立容量变更管理机制，加强调控与信息采集能力建设，强化虚拟电厂运行管理，严格执行网络与通信安全管理要求。国家能源局还将健全监督管理机制，加强宣传引导，营造良好安全发展环境。

参考链接：

https://www.cpnn.com.cn/news/nytt/202410/t20241031_1747548.html

2024年10月8日，国家市场监督管理总局（国家标准化管理委员会）批准发布了三项工业互联网企业网络安全国家标准，分别为《工业互联网企业网络安全 第 1 部分：应用工业互联网的工业企业防护要求》《工业互联网企业网络安全 第 2 部分：平台企业防护要求》《工业互联网企业网络安全 第 3 部分：标识解析企业防护要求》。当前工业互联网进入规模化发展阶段，网络安全风险蔓延，工业互联网企业安全保护需求各异。此次发布的标准聚焦三类企业防护需求，提出不同级别安全要求，为企业实施工业互联网安全分类分级管理提供指导，助力企业网络安全体系建设与能力提升。这些标准于 2022 年 1 月起在中国通信标准化协会相关工作组立项研制，由中国信息通信研究院、国家工业信息安全发展研究中心等单位编制。它们是我国工业互联网安全领域首批国家标准，是创新成果与经验总结，对提升企业安全水平、保障产业发展意义重大。

参考链接：

https://www.ccsa.org.cn/detail/?id=54791&title=%E4%B8%89%E9%A1%B9%E5%B7%A5%E4%B8%9A%E4%BA%92%E8%81%94%E7%BD%91%E4%BC%81%E4%B8%9A%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%9B%BD%E5%AE%B6%E6%A0%87%E5%87%86%E6%AD%A3%E5%BC%8F%E5%8F%91%E5%B8%83

9月30日，由“谛听”团队牵头制定的辽宁省地方标准DB21/T 4011—2024《工业网络安全态势感知技术规范》（下称《规范》）正式获批，于2024年9月30日对外发布，并将于2024年10月30日起全面实施。《规范》规定了工业网络安全态势感知的整体架构，以及数据准备，态势评估与展示、分析，态势告警与响应的技术要求。适用于安全测评服务机构、工业网络安全态势感知产品厂商、工业网络运营使用单位及主管部门组织工业网络安全态势感知的设计、开发、建设、检测、部署和维护工作。该规范的发布将为行业提供一套全面的参考标准。

参考链接：

http://www.lnsi.org:8081/UploadFile/sy/DB21_T%204011-2024.pdf

10月7日，美国水务公司披露了一起网络攻击事件。这家总部位于新泽西州的美国水务公司拥有超过6,500名员工，为24个州和18个军事基地的1400多万人提供供水服务。据报道，当地时间10月3日该公司发现其系统受到了网络攻击，导致计费服务中断，但未对供水和污水处理设施产生影响。美国水务公司指出其供水安全不会受到威胁，目前没有勒索软件组织声称对此次攻击负责。美国水务公司表示，已经切断了部分系统并暂停了客户门户服务，同时承诺在此期间不会向客户收取滞纳金。该公司还联系了执法部门，并启动了第三方网络安全专家的调查，目前调查仍在进行中。近年来，针对美国供水设施的网络攻击频发，政府对此表示担忧。白宫和美国环保署已多次警告该行业的脆弱性，促使各方加强应对措施。虽然此次事件未影响供水运营，但该公司表示无法预测攻击的全部影响，未来将根据调查结果采取进一步措施。

参考链接：

https://www.bleepingcomputer.com/news/security/american-water-shuts-down-online-services-after-cyberattack/

10月9日，施耐德电气发布安全通知，其 Harmony 工业 PC 系列和 Pro-face PS5000 旧版工业 PC 系列的系统监控应用中存在严重漏洞（CVE-2024-8884，CVSS v3 ：9.8）。CVE-2024-8884其危害在于通过不安全的 HTTP 连接将敏感信息暴露给未授权方，攻击者若能与应用进行网络交互，就可能获取凭据，这会使企业面临拒绝服务攻击、敏感数据泄露及完整性问题风险，甚至导致关键工业环境中的操作故障。受影响产品包括上述系列中所有版本的系统监控应用，这些产品广泛用于工业生产系统的监控和管理。施耐德电气为受影响客户提供了详细修复策略，建议卸载系统监控应用，并强烈建议在测试开发环境或离线基础设施中测试卸载过程，以避免对生产造成意外干扰。相关用户需尽快采取行动，以保障工业系统安全与稳定运行。

参考链接：

https://securityonline.info/cve-2024-8884-cvss-9-8-critical-flaw-exposes-schneider-electric-industrial-pcs-to-attack/

https://nvd.nist.gov/vuln/detail/CVE-2024-8884

10月11日，OPENAI 报告指出，伊朗黑客组织 CyberAv3ngers（与伊斯兰革命卫队有关）利用 ChatGPT 策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。该组织活动集中于以色列、美国和爱尔兰的关键基础设施，如 2023 年末破坏爱尔兰梅奥郡供水服务、入侵美国宾夕法尼亚州阿利奎帕市供水局。美国国务院已确定六名相关伊朗黑客并悬赏。CyberAv3ngers 借助 AI 工具进行侦察、编码和漏洞研究，寻求默认密码、编写脚本、探测漏洞等，虽获取信息多可通过传统方式得到，但仍增强了攻击能力，凸显网络战新趋势。这表明网络战正转向利用AI制定攻击战略，对传统安全措施构成挑战。当前关键基础设施安全虽有进步但仍存差距，AI 在该领域应用尚处初级阶段且面临安全性等问题。面对 AI 驱动的威胁，组织需加强防御，安全专业人员应重视并采取新措施，安全社区也应合作应对。

参考链接：

https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf

10月11日，据研究人员报道，伊朗国家支持的黑客组织APT34（又名OilRig）近期加大了针对海湾地区政府和关键基础设施的攻击活动。该组织在攻击中使用了新型后门软件，针对微软Exchange服务器窃取凭证，并利用Windows漏洞CVE-2024-30088（CVSS v3 ：7.0）提升权限。CVE-2024-30088漏洞允许攻击者获得系统级控制权，尽管微软已修复该漏洞，但尚未标记为被广泛利用。APT34还通过密码过滤DLL拦截明文凭证，部署远程监控工具，并利用合法的电子邮件流量进行数据外泄。此外，攻击者使用名为“StealHook”的新后门软件，通过政府Exchange服务器转发被盗凭证，以掩盖其恶意行为。研究人员指出，该组织与另一伊朗黑客组织FOX Kitten存在关联，可能引入勒索软件攻击，进一步增加威胁。

参考链接：

https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks-uae-gulf-regions.html

https://nvd.nist.gov/vuln/detail/cve-2024-30088

10月12日，中东局势持续紧张之际，伊朗于12 日遭遇大规模网络攻击。据伊朗最高网络空间委员会前秘书菲鲁扎巴迪透露，伊朗政府的司法、立法和行政三个部门几乎都遭受严重攻击，信息被盗，核设施以及燃料配送、市政、交通、港口等网络均成为攻击目标，但攻击发生时间未明确。目前，攻击造成的损失及具体细节尚不清楚。此次网络攻击发生时，正值美国宣布扩大对伊朗石油和石化行业的制裁，以回应伊朗此前对以色列的导弹袭击。美国试图通过制裁阻止伊朗为其核计划和导弹计划提供资金。同时，伊朗民航组织宣布禁止携带寻呼机和对讲机等电子通讯设备进入机舱或托运行李（手机除外），此规定或与黎巴嫩此前涉及真主党通讯设备的爆炸事件有关。欧盟也计划对与伊朗向俄罗斯转让导弹有关的个人和组织实施制裁。伊朗局势在网络攻击、军事冲突、制裁等多方面因素交织下愈发复杂紧张。

参考链接：

https://www.news18.com/world/iran-hit-by-heavy-cyberattacks-targeting-its-nuclear-facilities-amid-middle-east-tensions-9083699.html

10月22日，国家网络安全通报中心（下称“通报中心”）近期发布警示，发现一批境外恶意网址和恶意 IP，背后有境外黑客组织（部分具某大国政府背景）利用其对中国及他国发起网络攻击。这些恶意网址和 IP 与特定木马程序紧密相关，攻击手段涵盖僵尸网络、网络钓鱼、勒索病毒等，目的在于窃取商业秘密、知识产权及公民个人信息，严重威胁国内联网单位与互联网用户，部分活动已触犯刑律。恶意地址归属地涉及美、波、荷、保、土、日等国。例如美国的 “j.foxnointel.ru” 和 “a.foxnointel.ru” 等，关联 IP 分属加利福尼亚州洛杉矶，为 “fodcha” 病毒家族的 DDoS 僵尸网络木马，借 N - Day 漏洞和弱口令传播，可使关键信息设施或重要网络应用瘫痪。还有保加利亚、波兰、荷兰、土耳其、日本等国的恶意地址，分别涉及不同类型僵尸网络或网络后门病毒，危害极大。通报中心提醒，用户可查看浏览器记录、流量和 DNS 请求记录排查，也可部署检测设备追踪。同时，对社交平台及邮件接收文件和链接要高度警惕，勿轻易打开；及时更新防护设备规则拦截恶意访问；发现异常应及时报告相关部门配合调查，共同防范网络安全风险。

参考链接：

https://mp.weixin.qq.com/s/uYVx7bAP7Oqey-DeSUjZJA

10月24日下午，思科修复了近期在密码喷射攻击中发现的VPN服务拒绝服务漏洞（CVE-2024-20481，CVSS v3 ：5.8）。CVE-2024-20481影响Cisco ASA和Firepower Threat Defense（FTD）软件，使得攻击者可以通过大量VPN认证请求消耗设备资源，造成RAVPN服务中断。为避免此漏洞的影响，管理员可使用命令检查是否启用SSL VPN服务。目前，思科已采取措施修复了此漏洞，以保障用户的网络连接安全与稳定，防止黑客利用该漏洞进行恶意攻击，从而避免用户在使用 VPN 过程中遭遇服务中断或其他安全问题。

参考链接：

https://www.bleepingcomputer.com/news/security/cisco-fixes-vpn-dos-flaw-discovered-in-password-spray-attacks/

https://nvd.nist.gov/vuln/detail/cve-2024-20481

10月24日，研究人员在阿姆斯特丹的 Hardwear.io 会议上发布成果，指出电动汽车充电站存在严重网络安全漏洞。他们测试了 13 家制造商的 19 个型号充电站，发现超半数产品存在缺陷，包括 SSH、HTTP 等不安全端口暴露。这些漏洞可能使攻击者获取配置访问权限，破坏电网稳定性引发停电，甚至利用汽车入侵充电站，威胁运营安全、电网稳定与用户隐私。研究人员提出配置防火墙、改进访问控制等修复措施，同时欧盟等政府和组织也在推动立法与标准制定，提升充电站网络安全要求，以保障电动汽车行业健康发展。不过，研究虽未发现完整攻击链，但认为此类攻击可行，呼吁提高行业网络安全意识。

参考链接：

https://www.govinfosecurity.com/electric-vehicle-charging-stations-at-risk-from-hack-attacks-a-26620

“谛听”工控蜜罐在10月份收集到大量来自不同地区、针对不同工控协议的工控网络攻击数据。图1、图2和图3中展示了经过统计和分析后的数据，以下将对各个图表进行简要说明。

图1展示了10月份和9月份不同工控协议的蜜罐受到的攻击量对比情况。从图中可以看到，10月份仅 Siemens S7与CIP两协议蜜罐受到的攻击数量低于9月份受到的攻击数量，除此以外10月份各协议蜜罐受到的攻击数量相较于9月份均有所上涨。

图1.  10月份和9月份蜜罐各协议攻击量对比TOP10

（数据来源“谛听”）

图2展示了10月份和9月份攻击量最多的10个国家的对比情况。从图中可以看到，10月份加拿大、日本以及英国对工控蜜罐的攻击量有所减少，其他国家针对工控蜜罐的攻击量均有所增加。

图2.  10月份和9月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，10月份来自上海的流量最多，来自浙江的流量位居第二，来自北京的流量位居第三。排名靠前的省市基本为工业发达地区或沿海地区，此外其他省份的流量有所波动。

图3.  10月份中国国内各省份流量TOP10（数据来源“谛听”）

截至2024年10月，俄乌冲突已进入僵持阶段，乌克兰的反攻进展有限。尽管乌克兰在一些地区取得了局部胜利，特别是在巴赫穆特和扎波罗热方向，但由于俄罗斯的强大防御体系和广泛的地雷布设，整体推进迟缓。黑海地区的局势依然紧张，俄罗斯继续封锁乌克兰港口，并频繁发动导弹袭击，尤其是针对乌克兰的粮食运输，而乌克兰则通过无人机对俄军舰艇实施反击。乌克兰持续从西方争取军事援助和支持，特别是防空系统、远程火炮和弹药的补给，然而，西方国家的援助速度和力度面临多方面挑战，包括财政压力和部分国家内部的政治分歧。与此同时，俄罗斯加紧对乌克兰关键基础设施的打击，试图削弱乌克兰的民用能源供应，特别是在冬季来临之际。国际社会对冲突的关注依然高涨，但调解和和平谈判的可能性较低，双方在短期内达成和解的前景不明朗。

为了深入了解俄罗斯和乌克兰的工控领域状况，团队持续关注并进行了探测，以获取被扫描设备的详细信息。

/ 2024年10月俄罗斯、乌克兰暴露工控设备相关协议 /

从图4乌克兰各协议暴露数量对比图中可以看出，10月探测到的数量相比于9月份，AMQP协议出现较大幅度减少。同时联网摄像头暴露数量相比9月有小幅度的下降，由1190减少至1152。

图4.  9月、10月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，与9月相比，10月Nport协议有大幅度升高，AMQP和Modbus协议有小幅度的降低，其他协议没有很大幅度的变化。10月联网摄像头暴露数量有小幅度减少，由1620降低至1615。

后续团队将对相关信息持续关注。

图5.  9月、10月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）

微信号｜谛听ditecting