工控安全态势急剧恶化,哪些恶意软件易对企业造成威胁?
全球工控系统面临“木马危机”。这是近日一则资讯报道的标题。该篇报道中提到,一种伪装成工控系统密码找回工具的木马软件正在“热销”。
根据Dragos本周发布的最新工控安全报告,伪装成工控系统可编程逻辑控制器(PLC)、人机界面(HMI)和项目文档密码破解器的恶意软件生态系统的雏形已经浮出水面,黑客在网上兜售大量工控系统设备的密码破解软件,宣称可以帮助忘记密码的工控系统工程人员找回系统设备密码,但这些软件实际上是木马软件,被安装后会加载僵尸病毒,将工控设备变成僵尸网络的一部分。
近年来,工控安全态势急剧恶化。例如,此前,“冰瀑漏洞”(IceFall)工控安全报告披露,安全研究人员在10家OT供应商的产品中发现56个冰瀑漏洞,这些漏洞表明:工控安全在设计层面就存在根本性的重大问题。
此外,2022年上半年,也发生了多起工控安全事件:
2022年6月消息,一个恶意攻击行动通过利用未修复的微软Exchange服务器作为初始访问跳板部署 ShadowPad 恶意软件,攻击了阿富汗、马来西亚和巴基斯坦等国家的电信和制造相关组织机构。
2022年5月下旬,富士康墨西哥工厂被LockBit 勒索软件团伙要求支付赎金赎回被盗的数据。除了富士康外,上半年,LockBit还攻击了包括里约热内卢财政国务秘书办公室和加拿大战斗机供应商Top Aces,以及轮胎和橡胶巨头普利司通美洲公司等。
2022年4月,乌克兰某能源公司被恶意软件攻击,攻击者入侵目标以及攻击行为从IT系统转移到工业控制系统(ICS)的方式尚不明确;俄罗斯国家天然气公司Gazprom Neft的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭。
2022年3月,德国风电整机制造商巨头遭受网络攻击,近6000台风力发电机组失去远程控制服务;俄罗斯管道巨头Transneft遭攻击;汽车巨头DENSO遭到新Pandora勒索软件袭击,等等。
2022年2月,丰田汽车遭到网络攻击,致使丰田在日本国内14家工厂停工;英伟达和三星也在2月遭到了黑客攻击,英伟达被窃取1TB机密数据,三星被窃取了190GB机密数据。
2022年1月,台达电子遭Conti勒索软件攻击,被勒索1500万美元赎金;德国主要燃料储存供应商遭网络攻击,致使欧洲西北部地区馏分柴油价格略微上涨。
近年来,工控安全事件频发,工控系统成为黑客密集攻击的目标。工控系统即工业控制系统,工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,又催生了当前在商业领域风靡的以太网与控制网络的结合。
但随着云计算、大数据、物联网等技术在工业、制造业领域的落地应用,智能制造使生产制造环节从封闭的网络环境走向开放的互联网环境,带来新的安全挑战。与此同时,也将工控系统至于更加开放不确定的环境中,全球范围内针对工业控制系统的攻击事件频繁发生,攻击漏洞数量激增,工业控制系统安全形势愈发严峻。
2010 年“震网”病毒震惊全球工业界,被称为世界上首个工业网络“超级破坏性武器”。而在震网病毒之后,有相继出现了专为攻击工控系统而设计的五大恶意软件:
一,Triton/Trisis,该恶意软件有多种功能,包括读写程序和查询施耐德SIS控制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重新编程它们。Triton/Trisis被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针对施耐德电气的安全仪表系统(SIS)Triconex的多个型号的设备,这些设备被炼油厂用于监控工厂的管理和硫回收系统。
二,Incontroller/PipeDream。它是最近才发现的专门攻击工控系统的恶意软件威胁。美国网络安全和基础设施安全局(CISA)等机构已确定该恶意软件对液化天然气和电力供应商等能源机构和组织构成严重威胁。
三,Industroyer,也称为CrashOverride。它被认为是第一个已知的仅针对电网的恶意软件。该恶意软件的一个显著特点是不针对任何特定技术(工控设备),也不利用任何漏洞。相反,它使用本地ICS通信协议与工业系统进行交互,攻击者以不会触发任何警报的方式向它们发出恶意命令。
四,BlackEnergy,最初是用于DDoS攻击以及下载垃圾邮件和恶意软件的恶意软件。该恶意软件最出名的“用例”是2015年12月对乌克兰电力公司Prykarpattya Oblenerg的网络攻击,该攻击导致30个变电站断电,引发了长达6小时的大停电,影响了大约100个城市。
五,Havex,一种远程访问木马(RAT),俄罗斯APT组织Dragonfly(又名Energetic Bear)于2014年首次被观察到用该木马攻击部署在能源部门组织中的ICS/SCADA系统。最初,Havex被用于从受感染的系统和系统运行的环境中收集数据。另外有研究表明,Havex还可以下载并执行其他代码,这些代码可以查找并连接到基于开放平台通信(OPC)架构的服务器,并收集以后可能用于破坏设备的信息。