2023年工业控制网络安全态势白皮书.pdf

《2023年工业控制网络安全态势白皮书.pdf》由会员分享，可在线阅读，更多相关《2023年工业控制网络安全态势白皮书.pdf（63页珍藏版）》请在咨信网上搜索。

1、 2 目录 1.前言.4 2.2023 年工控安全相关政策法规标准.5 2.1 网络安全标准实践指南网络数据安全风险评估实施指引.5 2.2 商用密码管理条例.5 2.3 网络数据安全风险评估实施指引（公开征求意见稿）.6 2.4 工业领域数据安全标准体系建设指南（征求意见稿）.6 2.5 信息安全技术网络安全保险应用指南（公开征求意见稿）.6 2.6 网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿.7 2.7 工业互联网安全分类分级管理办法（公开征求意见稿）.7 2.8 工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）.7 2.9 信息安全技术 网络安全态势感知通

2、用技术要求.8 2.10 信息安全技术 网络和终端隔离产品技术规范.8 2.11 网络安全工业互联网平台安全参考模型.8 2.12 网络安全设备与服务建立可信连接的安全建议.9 2.13 信息安全技术 大数据服务安全能力要求.9 3.2023 年典型工控安全事件.11 3.1 GhostSec 黑客组织对白俄罗斯的工业远程终端单元进行攻击.11 3.2 GE Digital 的服务器被发现存在 5 个可利用的漏洞，影响了多个关键基础设施部门 11 3.3 北非国家军事 ICS 基础设施遭到黑客攻击.12 3.4 半导体设备制造商 MKS Instruments 遭勒索软件攻击.12 3.5 加

3、密 ATM 制造商 General Bytes 遭黑客攻击，至少 150 万美元被盗.13 3.6 黑客对以色列关键基础设施进行新一轮网络攻击.13 3.7 电力和自动化技术巨头 ABB 遭到勒索软件团队攻击.13 3.8 工控安全公司 Dragos 遭到勒索软件团队攻击.14 3.9 Suncor Energy 遭受网络攻击影响全国加油站：线上支付或瘫痪，仅支持现金.14 3.10 日本名古屋港口遭到勒索攻击导致货运业务暂停.14 3.11 澳大利亚基础设施公司遭受 Ventia 网络攻击.15 3.12 美国芝加哥贝尔特铁路公司遭遇勒索软件攻击.15 3.13 APT28 组织针对乌克兰关

4、键能源基础设施进行网络攻击.15 3.14 研究人员披露针对俄罗斯国防工业的 MataDoor 后门攻击.16 3.15 朝鲜黑客攻击韩国造船业窃取军事机密.16 3 3.16 DP World 遭遇网络攻击导致约 3 万个集装箱滞留港口.16 3.17 爱尔兰一家自来水公司遭遇网络攻击导致供水中断 2 天.17 4.工控系统安全漏洞概况.19 5.联网工控设备分布.23 5.1 国际工控设备暴露情况.27 5.2 国内工控设备暴露情况.29 5.3 国内工控协议暴露数量统计情况.32 5.4 俄乌冲突以来暴露设备数量变化.33 5.5 工业控制系统暴露数量数据变化分析.36 6.工控蜜罐数据

5、分析.37 6.1 工控蜜罐全球捕获流量概况.37 6.2 工控系统攻击流量分析.40 6.3 工控系统攻击类型识别.43 6.4 工控蜜罐与威胁情报数据关联分析.46 6.5 工控网络探针.48 6.5.1 数据处理之 Honeyeye.48 6.5.2 网络安全态势可视化.49 7.工业互联网安全发展现状及未来展望.50 7.1 工业互联网安全发展现状.50 7.1.1 工业互联网安全产业发展现状.50 7.1.2 工业互联网安全技术发展现状.51 7.1.3 工业互联网安全目前面临的风险和挑战.51 7.2 政策标准完善.53 7.3 安全技术融合.54 7.4 产业协同创新.56 8.

6、总结.59 参考文献.60 4 1.前言 工业控制网络是工业生产的“核心大脑”，用于监控、管理工业生产过程中的物理设备，确保生产的稳定性和可靠性，提高生产效率，在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展，数字时代的步伐愈发坚定，工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第 52 次中国互联网络发展状况统计报告显示，工业互联网网络体系迅速扩大，截至 2023 年 6 月，中国工业互联网标识解析体系覆盖 31 个省（区、市），其中超过 240 家工业互联网平台具有一定影响力，一个综合型、特色型、专业型的多层次工业互联网平台

7、体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善，态势感知、风险预警和基础资源汇聚能力进一步增强，“5G+工业互联网”等融合应用不断涌现，快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇，但同时又带来更加严峻的安全风险与挑战，工业互联网安全问题不仅关系到每个企业和个体的切身利益，更关系到国家的长远发展。为贯彻落实国家网络安全、数据安全相关法律要求，进一步提升工业企业的工控安全保障能力，2023 年 11 月 8 日，主题为“筑牢工控安全防线 护航新型工业化发展”的“2023 年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行，为工业控制网络的安全发展筹谋定策

8、。工控安全与网络安全密切相关，保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（http:/），并根据“谛听”收集的各类安全数据，撰写并发布2023 年工业控制网络安全态势白皮书，读者可以通过报告了解 2023 年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参

9、考。5 2.2023 年工控安全相关政策法规标准 工业互联网不仅是促使信息技术与工业经济深度融合的关键动力，同时也在我国制造强国和网络强国战略中发挥着重要作用。回首 2023 年，我国在工业信息安全领域取得显著进展，不仅进一步完善了政策标准，同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升，为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设，提高安全建设水平，我国在 2023年陆续推出了多项涉及工业互联网安全的政策法规报告。通过梳理 2023 年度发布的相关政策法规标准，整理各大工业信息安全研究院和机构基于不同法规发布的解读文件，现摘

10、选部分重要内容并进行简要分析，旨在让读者更深入了解国家在工控安全领域的政策导向。2.1 网络安全标准实践指南网络数据安全风险评估实施指引 2023 年 5 月 28 日，网络安全标准实践指南网络数据安全风险评估实施指引（以下简称评估指引）发布，旨在引导网络数据安全风险评估工作，遵循中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规，并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容，强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。2.2 商用密码管理条例 2023 年 4 月 14 日，国务院第 4 次常务

11、会议修订通过商用密码管理条例，该条例自 2023 年 7 月 1 日起施行。随着商用密码在网络与信息系统中广泛应用，其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来，党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求，2020 年施行的密码法对商用密码管理制度进行了结构性重塑。条例鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性；明确关键信息基 6 础设施的商用密码使用要求和国家安全审查要求。2.3 网络数据安全风险评估实施指引（公开征求意见稿）2023 年 4 月 18 日，全国信息安全标准化技术委员会秘书处发

12、布网络安全标准实践指南网络数据安全风险评估实施指引（征求意见稿），现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到，进行数据安全保护和数据处理活动的风险评估时，应始终以预防为主、主动发现和积极防范为基本原则，及时发现数据存在的潜在风险，以提升数据安全的防御能力，包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。2.4 工业领域数据安全标准体系建设指南（征求意见稿）2023 年 5 月 22 日，工信部发布工业领域数据安全标准体系建设指南(2023 版)(征求意见稿)，其中规定了工业领域数据安全标准体系的建设目标。到 2024 年，

13、将初步构建该标准体系，切实贯彻数据安全管理要求，满足工业领域数据安全需求，推动标准在关键行业和企业中应用，研发 30 项以上的数据安全国家、行业或团体标准；2026 年，将形成更为完善的工业领域数据安全标准体系，全面遵循相关法律法规和政策制度，标准的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，贯标工作全面展开，有力支持工业领域数据安全的关键工作，研制 100 项以上的数据安全国家、行业或团体标准。2.5 信息安全技术网络安全保险应用指南（公开征求意见稿）2023 年 9 月 13 日，全国信息安全标准化技术委员会秘书处发布 信息安全技术 网络安全保险应用指南（以下简

14、称应用指南）征求意见稿。应用指南汲取了国际网络安全保险标准成果，结合我国网络安全保险产业和风险管理实践，提炼适合我国国情的应用指南，以协助组织通过网络安全保险有效处理和管理风险。该指南明确了网络安全保险应用的关键环节，包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容，为网络安全保险的实际应用 7 提供操作性的指导建议，解决了应用中涉及的基本安全技术和差异性问题。2.6 网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿 2023 年 9 月 21 日，全国信息安全标准化技术委员会发布了网络关键设备安全技术要求 可编程逻辑控制器（

15、PLC）国家标准的征求意见稿。该文件明确了将可编程逻辑控制器（PLC）纳入网络关键设备范畴的相关规定，涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求，以及相应的安全保障要求。2.7 工业互联网安全分类分级管理办法（公开征求意见稿）2023 年 10 月 24 日，为加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工信部公开征求对工业互联网安全分类分级管理办法（公开征求意见稿）的意见。意见稿指出，工业互联网企业应当按照工业互联网安全定级相关

16、标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。2.8 工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）2023 年 12 月 15 日，推进工业和信息化领域数据安全应急处置工作的制度化和规范化，工业和信息化部网络安全管理局起草了工业和信息化领域数据安全事件应急预案（试行）。该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度，分为特别重大、重大、较大和一般四

17、个级别。预案强调应急工作要实现统一领导、分级负责，实行统一指挥、协同协作、快速反应、科学处置，并明确了责任分工，以确保数据安全处理者履行数据安全主体责任。8 2.9 信息安全技术 网络安全态势感知通用技术要求 2023 年 3 月 17 日，由公安部第三研究所牵头编制的信息安全国家标准 GB/T 42453-2023 信息安全技术 网络安全态势感知通用技术要求，已由国家标准化管理委员会正式发布，标准于 2023 年 10 月 1 日正式实施。作为国内首份网络安全态势感知的国家标准，该标准规范了网络安全态势感知体系的核心组件，包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方

18、面的通用技术要求。此标准的发布为中国网络安全态势感知的规范化发展提供了重要的指导标准，对国内网络安全态势感知建设具有重要的参考和指导价值。2.10 信息安全技术 网络和终端隔离产品技术规范 2023 年 5 月 15 日，信安标委发布 信息安全技术 网络和终端隔离产品技术规范。标准作为信息安全等级保护技术要求系列标准的关键组成部分，同时规定了网络和终端隔离产品的分类、级别划分、安全技术要求以及测评方法。其目的在于指导设计者如何设计和实现符合特定安全等级需求的隔离部件，主要通过对隔离部件安全保护等级的划分来阐述技术要求，即详细说明为实现各个保护等级所需的安全要求，以及在不同安全级别下各安全技术要

19、求的具体实现差异。2.11 网络安全工业互联网平台安全参考模型 2023 年 7 月，我国牵头提出的国际标准 ISO/IEC 24392：2023网络安全工业互联网平台安全参考模型正式发布。ISO/IEC 24392 作为首个工业互联网安全领域的国际标准，基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题，可以系统指导工业互联网企业及相关研究机构，针对不同的工业场景，分析工业互联网平台的安全目标，设计工业互联网平台安全防御措施，增强工业互联网平台基础设施的安全性。9 2.12 网络安全设备与服务建

20、立可信连接的安全建议 2023 年 8 月 8 日，我国牵头提出的国际标准 ISO/IEC 27071:2023网络安全设备与服务建立可信连接的安全建议 正式发布。该提案于2015年提交至ISO/IEC JTC1/SC27，后经研究，于 2019 年 4 月正式立项，2023 年 7 月正式发布。ISO/IEC 27071 给出了设备和服务建立可信连接的框架和安全建议，内容涵盖硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景，如移动支付、车联网、工业物联网等，有助于提高从设备到服务的全过

21、程数据安全性。2.13 信息安全技术 大数据服务安全能力要求 2023 年 9 月 7 日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023 年第 9 号），全国信息安全标准化技术委员会归口的 4 项国家标准正式发布，包括 GB/T32914-2023信息安全技术 网络安全服务能力要求、GB/T43206-2023信息安全技术 信息安全控制评估指南、GB/T 43206-2023信息安全技术 信息系统密码应用测评要求、GB/Z 43207-2023信息安全技术 信息系统密码应用设计指南，均将于 2024 年 4 月 1 日实施。其中 GB/T 35274-2

22、023信息安全技术 大数据服务安全能力要求需要重点关注，由于网络安全服务需求不断增加，出现了低价竞标、交付质量差、不规范流程、安全风险等问题，影响了行业健康发展。为贯彻网络安全法数据安全法关键信息基础设施安全保护条例等法律法规，确保服务质量、防范安全风险，提升规范性和可持续性，制定此标准。表 2-1 2023 国内部分出台政策法规标准 序号 月份 出台政策法规标准 1 3 月 信息安全技术 网络安全态势感知通用技术要求 2 4 月 信息安全技术 信息安全控制（征求意见稿）3 4 月 商用密码管理条例 4 5 月 工业领域数据安全标准体系建设指南（征求意见稿）10 5 5 月 网络安全标准实践指

23、南网络数据安全风险评估实施指引 6 5 月 公路水路关键信息基础设施安全保护管理办法 7 6 月 商用密码应用安全性评估管理办法（征求意见稿）8 7 月 安全工业互联网平台安全参考模型 9 7 月 铁路关键信息基础设施安全保护管理办法（征求意见稿）10 7 月 信息安全技术网络安全产品互联互通框架（征求意见稿）11 8 月 网络安全设备与服务建立可信连接的安全建议 12 9 月 信息安全技术网络安全保险应用指南（征求意见稿）13 9 月 信息安全技术 大数据服务安全能力要求 14 9 月 网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿 15 10 月 工业互联网安全分类分级管

24、理办法（征求意见稿）16 10 月 工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）17 10 月 商用密码检测机构管理办法 18 10 月 商用密码应用安全性评估管理办法 19 11 月 网络安全标准实践指南网络安全产品互联互通 资产信息格式（征求意见稿）20 11 月 工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）21 12 月 工业领域数据安全标准体系建设指南（2023 版）22 12 月 工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）23 12 月 网络安全事件报告管理办法（征求意见稿）24 12 月 民用航空生产运行工业控制系统网络安全防护技

25、术要求 25 12 月 信息安全技术 政务计算机终端核心配置规范（征求意见稿）26 12 月 信息安全技术 网络安全应急能力评估准则 11 3.2023 年典型工控安全事件 2023 年全球工控安全事件依然层出不穷，给工业企业数字化转型带来了极高的安全风险。众多工控系统遭受了不同程度的网络攻击，给大量企业造成了不可估量的损失，甚至危及国家安全。本年度针对工控系统攻击的破坏程度及规模呈现扩大趋势，影响了多个行业，涵盖能源、交通、军工、制造、医疗等领域。以下介绍 2023 年发生的一些典型的工控安全事件，通过以下事件可以了解工业网络面临的风险和发展趋势，以此来制定更加有效的相关策略应对未来可能遭受

26、的攻击。3.1 GhostSec 黑客组织对白俄罗斯的工业远程终端单元进行攻击 2023 年 1 月 11 日，GhostSec 黑客组织声称对白俄罗斯的工业远程终端单元(RTU)进行了攻击，RTU 是一种用于远程监控工业自动化设备的操作技术(OT)设备。GhostSec是 Anonymous 旗下的一个黑客主义行动组织，主要从事出于政治动机的黑客攻击。从Telegram 小组提供的屏幕截图看出，攻击者加密了设备 TELEOFIS RTU968 V2 上的文件，并且将加密文件后缀修改为.fuckPutin。TELEOFIS RTU968 V2 是一款新型 3G 路由器，由于其支持工业接口 RS

27、-232 和 RS-485，并且能够将工业协议 Modbus RTU/ASCII转换为 Modbus TCP，因此可以被视为远程终端单元(RTU)。此次攻击活动使得受害设备上的文件均被加密，攻击者只留下了一封内容为“没有通知信”的文件。经安全人员研究发现，TELEOFIS RTU968 V2 默认开启 22 端口的 SSH 服务并且允许使用 root 密码远程登录。攻击者可能通过这些配置弱点进入设备内部，从而实现设备文件加密。目前 GhostSec 黑客组织表现出在某些情况下破坏企业和运营的能力。GhostSec 最新的攻击活动也再次表明，这些组织有兴趣寻找 ICS 设备，如果这些设备受到攻击

28、，可能会影响工业自动化环境中的生产和系统安全性。3.2 GE Digital 的服务器被发现存在 5 个可利用的漏洞，影响了多个关键基础设施部门 2023 年 1 月 17 日，工业网络安全公司 Claroty 的研究人员透露，其 Team82 团队在GE Digital 的 Proficy Historian 服务器中发现了五个可利用的漏洞，影响了多个关键基础设施部门。威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。12 这批漏洞影响 GE Proficy Historian v7.0 及更高版本。这些漏洞的存在与 ICS 和操作技术(OT)环境有关，因为这些历史数据库服务

29、器与企业系统共享过程信息，从而为攻击者从IT 网络跳转到 OT 系统创造了一个有吸引力的支点。通过这批漏洞，攻击者可以在远程GE Proficy Historian 服务器上以 SYSTEM 权限执行任意代码。此外，攻击者还能构建一个功能齐全的 shell 命令行界面(CLI)，该界面支持多种命令，包括绕过身份验证、上传任意文件、读取任意文件、删除任意文件以及远程执行代码。美国网络安全和基础设施安全局(CISA)很快发布了一份工业控制系统(ICS)公告，将这些漏洞确定为使用备用路径或通道绕过身份验证、不受限制地上传危险类型的文件、不正确的访问控制和弱口令编码。目前 GE 公司表示 GE Pro

30、ficy Historian v8.0.1598.0 受到影响，针对最近发布的 GE Proficy Historian 中的所有漏洞已发布相应缓解措施，并敦促用户升级以获得保护。3.3 北非国家军事 ICS 基础设施遭到黑客攻击 2023 年 1 月 27 日，美国 Cyble 研究与情报实验室（Cyble Research&Intelligence Labs，CRIL）发布博客，发现一名黑客访问由北非国家的军事组织所使用的监督控制和数据采集系统（SCADA）和热成像摄像机（Thermal Imaging，TI），该黑客发布了一张TI 相机系统的访问面板的图像，CRIL 研究人员确定该面板属

31、于一家著名的原始设备制造商，该公司为全球几支武装部队制造军用级 TI 相机，黑客利用这些系统数据获得了对军事资产的网络访问。经过进一步调查，CRIL 发现暴露的 TI 相机有多个漏洞，如信息披露、未经授权的远程代码执行（RCE）和硬编码凭证问题，这些漏洞的存在不仅可以为黑客提供对军事基地的监视能力，还可以让他们渗透到操作技术（Operational Technology，OT）网络。3.4 半导体设备制造商 MKS Instruments 遭勒索软件攻击 2023 年 2 月 3 日，半导体设备制造商 MKS Instruments 遭受勒索软件的攻击，此事件影响了其生产相关系统，该公司发现勒

32、索软件造成的影响后，立即采取行动启动事件响应和业务连续性协议以遏制其危害继续扩散。MKS Instruments 的网站在很长一段时间内无法被访问。该公司表示，它已通知执法部门，同时通过聘请事件响应专业人员调 13 查和评估事件的影响。MKS Instruments 高级副总裁说：“该事件影响了某些业务系统，包括与生产相关的系统，作为遏制措施的一部分，公司已决定暂时停止某些设施的运营。”该公司表示，正在努力尽快恢复系统和受影响的运营。3.5 加密 ATM 制造商 General Bytes 遭黑客攻击，至少 150 万美元被盗 2023 年 3 月 17 日，加密 ATM 制造商 Genera

33、l Bytes 发生了一起安全事件，导致至少 150 万美元被盗，迫使其关闭大部分位于美国的自动取款机，General Bytes 将其描述为“最高”级别的违规行为。一些自助服务终端只允许现金换加密货币交易，而其他是“双向”的，这意味着客户可以用他们的数字货币获取现金。根据其创始人 Karel Kyovsky 详细描述该事件的声明，黑客利用用于上传视频的主服务接口中的漏洞，将自己的 Java 应用程序远程上传到该公司的服务器上。该事件使攻击者能够读取和解密 API 密钥，并访问交易所和在线维护的“热”加密货币钱包上的资金，他们还能够窃取用户名和密码，并关闭双因素身份验证。3.6 黑客对以色列关

34、键基础设施进行新一轮网络攻击 2023 年 4 月 9 日，据英国信息安全、网络犯罪新闻平台 HACKREAD 报道，以色列的灌溉系统遭到了一系列网络攻击，导致数个水位监测器发生故障，同时针对该国的主要基础设施机构网站（包括航空公司、交通、邮政和灌溉系统的网站）的网络攻击数量激增。同日，据 JPost 报道，在灌溉系统遭到攻击的前一周，以色列国家网络组织曾发出警告，在 4 月 14 日的“伊朗耶路撒冷日”庆祝活动之前的穆斯林斋月期间，针对以色列基础设施的网络攻击可能会增加，当局认为，这些网络攻击可能是由亲巴勒斯坦的黑客组织 OpIsrael 策划。3.7 电力和自动化技术巨头 ABB 遭到勒索

35、软件团队攻击 2023 年 5 月 7 日，据美国网络安全媒体 BLEEPINGCOMPUTER 报道，电力和自动化技术巨头 ABB 遭受了 Black Basta 勒索软件团伙发起的网络攻击。ABB 是一家行业领先的电气化和自动化技术的跨国提供商，该公司为多家制造业和能源供应商开发工业控制系统(ICS)和 SCADA 系统，单在美国就运营着 40 多家工程、制造、研究和服务设施，14 并为多种联邦机构提供服务。BLEEPINGCOMPUTER 从多名员工处获悉，勒索软件攻击影响了公司的 Windows Active Directory，影响了数百台设备的正常工作，为解决该问题 ABB 已经采

36、取一些措施如终止与其客户的 VPN 连接防止勒索软件传播来控制事件。目前 ABB 绝大多数系统和工厂现已重新启动并运行，继续为客户提供服务。3.8 工控安全公司 Dragos 遭到勒索软件团队攻击 2023 年 5 月 8 日，一个已知的勒索软件犯罪组织试图破坏工控安全公司 Dragos 的安全防御系统并渗透到内网加密设备。Dragos 表示其公司网络和安全平台在攻击中并未遭到破坏，攻击者的横向移动、提权、加密、驻留等攻击手段大多被 Dragos 的多层安全控制和基于角色的访问控制阻止了，但攻击者成功入侵了该公司的 SharePoint 云服务和合同管理系统。Dragos 已经调查了公司安全信

37、息和事件管理中的警报并阻止了受感染的帐户。3.9 Suncor Energy 遭受网络攻击影响全国加油站：线上支付或瘫痪，仅支持现金 2023 年 6 月 25 日，加拿大最大的合成原油生产商之一的 Suncor Energy 发布新闻稿称其遭受了网络攻击，虽然新闻稿中表示尚未发现任何证据表明客户、供应商或员工的数据遭到泄露或滥用，但目前其子公司 Petro-Canada 遍布加拿大的加油站已经无法支持客户使用信用卡或奖励积分付款，甚至其官网的账户登录也已经瘫痪，并且“洗车季通行证”的持有客户无法在 Petro-Canada 的洗车中心使用其特权。新闻稿表示目前公司正在采取措施并与第三方专家合

38、作调查和解决这一情况，并已通知当局有关部门，近期与客户和供应商的一些交易可能会受到影响。3.10 日本名古屋港口遭到勒索攻击导致货运业务暂停 2023 年 7 月 5 日，日本最大且最繁忙的港口名古屋港发布了关于其统一码头系统（NUTS）遭到攻击的通知，NUTS 是控制该港所有集装箱码头的中央系统。根据通知，勒索攻击发生于当地时间 7 月 4 日凌晨 06:30 左右。名古屋港务局预计系统将于 7 月 5日恢复上线，货运业务于 7 月 6 日恢复，在相关业务恢复之前，所有使用拖车在码头进行的集装箱装卸作业均已取消，这给港口造成了巨大的财务损失，并严重扰乱了进出日 15 本的货物流通。7 月 2

39、6 日，名古屋港再次发布调查通知，表示截至 7 月 6 日 18 时 15分，所有码头业务已恢复运营，并且在爱知县警察本部和系统维护公司的共同调查下，名古屋港务局确认此次事件的原因是勒索软件感染。据报道，该机构曾于 7 月 4 日上午收到了一份用办公室打印机远程打印的赎金要求。3.11 澳大利亚基础设施公司遭受 Ventia 网络攻击 2023 年 7 月 8 日，基础设施提供商 Ventia 发布公告表示其发现了一起网络入侵事件，该事件影响了 Ventia 的部分系统，目前 Ventia 已采取包括关闭关键系统等措施来遏制该事件，并聘请了外部网络安全专家，积极与监管机构和执法部门合作。Ven

40、tia 是澳大利亚和新西兰最大的基础设施提供商之一，业务涉及国防、能源、医疗保健、采矿、电信和水务行业。在 7 月 9 日的后续的声明中 Ventia 表示，他们仍在处理此次攻击事件，且其业务正在持续运营。3.12 美国芝加哥贝尔特铁路公司遭遇勒索软件攻击 2023 年 8 月 12 日，据 Recorded Future New 报道，美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司由美国和加拿大的六家铁路公司共同拥有，每家铁路公司都使用该公司的转运和换乘设施。当地时间 8 月 10 日晚，Akira 勒索软件团伙将该公司添加到其泄露网站，声称窃取了 85GB

41、 的数据。贝尔特铁路总法律顾问 Christopher Steinway 称，该公司最近意识到“一个威胁组织在其网站上发布消息称其已获得某些公司信息”，但“该事件没有影响我们的运营，我们已聘请一家领先的网络安全公司来调查这一事件，并正在与联邦执法部门合作”，目前贝尔特铁路公司仍然在调查此事件。3.13 APT28 组织针对乌克兰关键能源基础设施进行网络攻击 2023 年 9 月 4 日，乌克兰计算机紧急响应小组（CERT-UA）发布公告称其发现了一起针对乌克兰关键能源基础设施的网络攻击。公告表示，此次网络入侵始于一封钓鱼电子邮件，其中包含指向激活感染链的恶意 ZIP 存档的链接。CERT-UA

42、 表示：“访问该链接会将包含三个 JPG 诱饵图像和 BAT 文件 weblinks.cmd 的 ZIP 存档下载到受害者 16 的计算机上”，并将此次攻击归因于名为 APT28（又名 BlueDelta）的俄罗斯威胁行为者。该攻击会窃取目标主机信息，同时下载 TOR 隐藏服务来路由恶意流量。CERT-UA表示，关键能源基础设施的负责员工设法通过限制对 Mockbin 网络资源服务（mockbin.org、mocky.io）的访问并阻止在计算机上的启动 Windows Script Host，成功阻止了该网络攻击。3.14 研究人员披露针对俄罗斯国防工业的 MataDoor 后门攻击 2023

43、 年由 9 月 27 日，俄罗斯网络安全公司 Positive Technologies 发布安全分析报告，称其在 2022 年 10 月对一家俄罗斯工业企业的安全事件进行调查的期间，发现该企业被入侵的计算机上运行着以前从未见过的恶意软件样本。这些恶意软件可执行文件的名称与受感染计算机上安装的合法软件的名称相似，而且一些样本具有有效的数字签名。此外，已识别的可执行文件和库经过 Themida 保护程序的处理，使其更难被检测和分析。Positive Technologies 对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门，并称之为 MataDoor，其设计目的是为了长期在

44、计算机中隐蔽运行。3.15 朝鲜黑客攻击韩国造船业窃取军事机密 2023 年 10 月 4 日，韩国国家情报院发布名为国家情报局就“朝鲜针对造船业的黑客攻击蔓延”发出警告的新闻稿。新闻稿指出在去年 8 月和 9 月就已经发现了几起朝鲜黑客组织企图入侵主要造船厂的案件，朝鲜黑客组织之所以将目标对准韩国造船企业，是因为金正恩下达了建造大中型军舰的命令，并预测朝鲜的攻击趋势今后仍将持续，呼吁包括大型造船企业和船舶零部件制造商在内的相关企业进行彻底的安全管理。韩国国家情报院认为，黑客攻击的方法是夺取和绕过 IT 维护公司的个人主机，或向内部员工分发钓鱼邮件，然后安装恶意软件。韩国国家情报院敦促业界加强

45、安全措施，包括“对黑客行为的蔓延发出警告并禁止查看不明确的电子邮件”。3.16 DP World 遭遇网络攻击导致约 3 万个集装箱滞留港口 2023 年 11 月 12 日，国际物流公司 DP World Australia 发布媒体公告，称其遭遇了严重破坏澳大利亚多个大型港口正常货运的网络攻击。根据报告，11 月 10 日的一次网 17 络攻击中断了其港口的陆上货运业务，为此，DP World 启动了应急计划，并与网络安全专家展开合作，前公司正在测试恢复正常业务运营所需的关键系统。另外，媒体声明中还提到公司的部分数据很可能已经被非法访问、甚至遭到泄露，然而内部调查仍在进行中，该情况尚未证实

46、。DP World 专注于货运物流、港口码头运营、海事服务和自由贸易区，负责运营 40 个国家的 82 个海运和内陆码头，其每年处理由 70000 艘船只运送的约7000 万个集装箱，相当于全球集装箱运输量的约 10%。3.17 爱尔兰一家自来水公司遭遇网络攻击导致供水中断 2 天 2023 年 12 月 7 日，爱尔兰媒体 WesternPeople 报道，黑客攻击了爱尔兰埃里斯地区的一家私人集团供水公司，导致供水中断两天并影响到 180 户业主，之后工作人员努力修复 Eurotronics 以色列制造的抽水系统。攻击者出于政治动机，选择对该供水公司中源于以色列的设备进行攻击并破坏了抽水系统

47、的用户界面，张贴了反以色列的信息。工作人员表示这些引进的设备防火墙安全系统可能不够强大，目前正在改进他们的安全系统，并与都柏林网络犯罪局密切合作。表 3-1 2023 年部分安全事件 序号 时间 国家/地区 行业 方式 影响 1 1 月 白俄罗斯 工业 网络攻击 受害设备上的文件均被加密 2 1 月 北非 军工业 未知 军事资料被访问 3 1 月 挪威 运输业 勒索软件 约 1000 艘船舶出行受到影响 4 2 月 美国 制造业 勒索软件 生产系统被影响，公司网站无法被访问 5 2 月 英国 能源业 网络攻击 部分系统被关闭 6 2 月 德国 航空业 DDoS 攻击 数千名乘客取消和延误航班

48、7 3 月 荷兰 运输业 勒索软件 公司系统宕机，私密数据被窃取 8 3 月 印度 国防业 恶意软件 国防资料被窃取 9 3 月 美国 金融业 漏洞利用攻击 至少 150 万美元被盗 18 10 4 月 以色列 农业 网络攻击 水位监测器发生故障 11 5 月 美国 制造业 恶意软件 生产设备出现故障 12 5 月 美国 制造业 勒索软件 数百台设备无法正常工作 13 5 月 美国 互联网 勒索软件 内网加密设备被渗透 14 6 月 荷兰 能源业 勒索软件 服务器的数据库被渗透 15 6 月 加拿大 能源业 网络攻击 官网瘫痪、用户数据被泄露 16 7 月 日本 运输业 勒索攻击 造成巨大的财

49、务损失，并严重扰乱了进出日本的货物流通 17 7 月 澳大利亚 制造业 网络攻击 部分系统停止运行 18 7 月 以色列 能源业 网络攻击 BAZAN 的数据采集与监视控制系统的屏幕截图被泄露 19 8 月 美国 运输业 勒索软件 85GB 的数据被泄露 20 8 月 南非 能源业 恶意软件 公司数据被发送到远程服务器中 21 9 月 伊朗 工业 网络入侵 部分设备被攻击者控制 22 9 月 英国 农业 DDoS 攻击 灌溉系统无法正常运行 23 9 月 乌克兰 能源业 网络钓鱼攻击 主机信息被窃取，同时下载 TOR 隐藏服务来路由恶意流量 24 9 月 俄罗斯 军工业 后门攻击 入侵的计算机

50、上被运行着恶意软件 25 10 月 韩国 制造业 网络攻击 员工计算机上被安装恶意软件 26 11 月 澳大利亚 运输业 网络攻击 3 万个集装箱被滞留港口 27 12 月 哥伦比亚 工业 网络钓鱼攻击 大量公司员工信息被窃取 28 12 月 爱尔兰 供水业 网络攻击 抽水系统的用户界面被破坏 19 4.工控系统安全漏洞概况 随着 5G 网络、工业 4.0、和工业互联网的发展，传统的工业生产模式逐渐被智能化所取代，工控设备也因此遭受着越来越多的攻击，并且攻击形式日渐多元，攻击手段更加复杂，工控安全事件呈现连年高发态势。其中，最常见的攻击方式就是利用工控系统的漏洞。PLC（Programmabl