2023工业控制系统安全报告

contents概述近年来，随着信息技术的高速发展，工业控制系统（以下简称“工控系统”）逐渐放互联、智能化的方向发展。工控系统在能源、钢铁、化工、装备工业、消费品工业、电子信息、国防军工、水利、民用核设施等行业广泛应用。由于这些行业涉及社会运转的各类基础设施，如果相关行业遭受攻击，可严重的影响。本篇报告通过对2023年的工控安全漏洞数据进行统计，聚焦2023年工业互联网安全重点事件，追踪34根据漏洞的CWE类型的统计，上述漏洞主要CWE分类如下图，其中前三类主要漏洞类型为输入验证不当、跨5根据上述统计数据可以看出，思科由于其产品众多，影响力大，应用范围广，且存在的已62023工业控制系统安全报告_____________________________________________________________2023年的工控安全事件主要因政治因素和经济动机而起，攻击者大多具有政府背景，遭受攻击的行业也常与关我们列举了2023年全球受到重点关注的工控攻击事件，涉及运输、能源、农业、汽车等多个行业。从这些事件2023年1月，GhostSec黑程监控工业自动化设备的操作技术(OT)设备。GhostSec是Anonymous旗下的一个黑客主义行动组织，主要从事出于政治动机的黑客攻击，此前也曾攻击过可编程逻辑控制器和其他OT设备。单元(RTU)。此次攻击活动使得受害设备上的文件均被加密，攻击者只留下了一封内容为“没有通知信”的文件，并路径，利用这个接口，安全人员发现了该门户网站的更多接口信息并对其进行了测试，发现用户枚举接口和密接口。通过这两个接口，攻击者可以实现完全接管任何宝马或劳斯莱斯员工帐户以及这些员工使用的访问工具独立设备来跟踪和管理车辆。这些设备具有被跟踪和接收任意命令的功能，例如锁定启动器，使车辆无法启7研究。该公司存在着一个及其老旧的管理门户网站，安全人员仅通过一个极其简单的SQL注入方法就获得了该公司向这些设备发送任意命令，甚至创建恶意Spireon程序包，更新车辆配置以调用修改后的程序包作为后门从而进一步操控车辆。由于这些设备被普遍安装在美国的拖拉机、高尔夫球车、警车和救护车等车辆上，因网站发起攻击的活动，活动每年进行一次，目的是反对以色列政府、破坏以色列的基础设施，参与活动的黑客主要来自于阿拉伯世界和伊斯兰国家。此次活动使胡拉谷地区数千台灌溉监测系统遭到攻击，活动除了造成恐慌之外，还直接影响了农业地区的生产。根据黑客组织在社交媒体发布的资料可以看出，此次攻击活动中，攻击者还攻陷了城市包括卡尔加里、渥太华、多伦多等加拿大主要城市。据传，Suncor此次服务中断造成数百万美元的损失，2023年7月，武汉市应急管理局地震监测中心的部分地震速报数据前端台站采集点网络设备被植入后经相关人员调查取证发现，该后门程序能够远程操控设备，窃取设备上采集的地震烈度数据。研究人员分析此次事件为境外具有政府背景的黑客组织发起的网络攻击行为。该机构由于其地理位置的特殊性，其监测到2023年7月4日凌晨，日本名古到由打印机打印的勒索信，勒索信表示系统数据均被加密，需要支付赎金，才能恢复港口系统。此次攻击导致所有码头的集装箱运营受到影响，也影响到了全球最大汽车制造商Toyota的零件进出口。此次对名古屋港的攻击凸显了勒索软件对关键基础设施的持续威胁，需要采取强有力的措施进行防范。遭受攻击后，港口运营商横滨川的交通运输行业在2022年曾发生11起勒索软件事件。全球其他港口也发生过类似名古屋港口的勒索事件，例如葡。9针对工控相关行业的攻击整体呈现增长趋势，访问漏洞来进行入侵。近期，该组织主要针对工控系统开发恶意软件，如被安全公司公开的知名ICS恶意软件框架础设施、工业控制系统等。GhostSec的攻击活动中表现突出，开始被众人所知。GhostSec是一个黑客行动主义组织，常以其私定的规则判定国际各类事件，并通过攻击行动维护其认为的正义。GhostSec曾进行过的Chrysene是一个疑似源自伊朗的威胁组织，自2014年以来一直以中东和国际受害者为目标。该组织的目标包括金融、政府、能源、化工、电信等多个行业，攻击活动主要集中在中东地区。Chrysene似乎利用受害目标之间的信任关系来攻击其主要目标，从而进行供应链攻击。该组织之前曾被追踪为两个不同的组织（APT34和OilRig目前公开的恶意软件多用于针对电力设施。本报告挑选了三个有代表的危害性比较大的恶意软件进行介绍，分别是LIGHTWORK是一种用C++编写的中断工具，通过实现IEC-104协议并利用TCP协议修改RTU的状态。它PIPEDREAM是一种ICS恶意软件框架，提供了扫描新设备、暴力破解密码、切断连接、使目标设备崩溃等功INDUSTROYER（也称为CrashOverride）被认为是第一个已知的专门针对电网的恶意软件。INDUSTROYER2023工业控制系统安全报告_____________________________________________________________社会工程学是利用人性薄弱点进行攻击的一种手段，攻击者可通过该手段收集目标信息从攻击者可以通过企业信息查询工具获取厂商信息，通过fofa、shodan等测绘工具收集目标的资产信息，通过攻击者常常会收集已公开漏洞的利用载荷，整理制作成攻击工具。一些高级黑客还会针对某些常用产品进行安全攻击者在获得主机的访问权限后，将会通过部署远控木马或者设置后门的方式进一步扩大其操控权除了以上攻击方式外，攻击者中还存在一类以盈利为目的的勒索软件组织，此外，拥有政治背景的攻击者在攻击过程中还具有擦除痕迹、加强隐蔽性的特点，这类攻链、物联网等技术的逐渐成熟，工控系统的网络攻击将向着更加复杂的方向发展。随之而来的安全风险也是从目前国内工控相关的政策也可以看出，国家正在积极推动工业互联网平台体系壮大，积极促进工保障体系的完善。工控安全虽然只是网络空间安全的一个分支，但是工业控制系统应用于各类重要行业，甚至涉多关键基础设施。因此当工控系统遭到破坏时，其带来的危害是异常严重的。这样的破坏不仅仅对相关行业造成的影响，还可能对整个社会造成严重的后果。工控行业相关单位需要加强对工控系统所处的网络环境监控，及时2)关注使用产品（硬件、软件）的漏洞信息，及时更新系统补丁，定期检查、修补系统漏洞，尤其针对高危或4)在不同的网络边界之间部署边界安全防护设备，实现安全访问控制，阻断非法网络访问，严格禁止没有防护3、研究人员可以利用该漏洞阻止用户远程管理其车辆、更改所有权：特别是1、研究人员仅使用受害者电子邮件地址即可完全远程锁定、解锁、发动机启动、发动机停止、