全球工控系统面临“木马危机”。这是近日一则资讯报道的标题。该篇报道中提到,一种伪装成工控系统密码找回工具的木马软件正在“热销”。
根据Dragos本周发布的最新工控安全报告,伪装成工控系统可编程逻辑控制器(PLC)、人机界面(HMI)和项目文档密码破解器的恶意软件生态系统的雏形已经浮出水面,黑客在网上兜售大量工控系统设备的密码破解软件,宣称可以帮助忘记密码的工控系统工程人员找回系统设备密码,但这些软件实际上是木马软件,被安装后会加载僵尸病毒,将工控设备变成僵尸网络的一部分。
近年来,工控安全态势急剧恶化。例如,此前,“冰瀑漏洞”(IceFall)工控安全报告披露,安全研究人员在10家OT供应商的产品中发现56个冰瀑漏洞,这些漏洞表明:工控安全在设计层面就存在根本性的重大问题。
此外,年上半年,也发生了多起工控安全事件:
年6月消息,一个恶意攻击行动通过利用未修复的微软Exchange服务器作为初始访问跳板部署ShadowPad恶意软件,攻击了多个国家的电信和制造相关组织机构。
年5月下旬,富士康墨西哥工厂被LockBit勒索软件团伙要求支付赎金赎回被盗的数据。除了富士康外,上半年,LockBit还攻击了包括加拿大战斗机供应商TopAces,以及轮胎和橡胶巨头普利司通美洲公司等。
年3月,德国风电整机制造商巨头遭受网络攻击,近台风力发电机组失去远程控制服务。
年2月,丰田汽车遭到网络攻击,致使丰田在日本国内14家工厂停工;英伟达和三星也在2月遭到了黑客攻击,英伟达被窃取1TB机密数据,三星被窃取了GB机密数据。
年1月,台达电子遭Conti勒索软件攻击,被勒索万美元赎金;德国主要燃料储存供应商遭网络攻击,致使欧洲西北部地区馏分柴油价格略微上涨。
近年来,工控安全事件频发,工控系统成为黑客密集攻击的目标。工控系统即工业控制系统,工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求,又催生了当前在商业领域风靡的以太网与控制网络的结合。
但随着云计算、大数据、物联网等技术在工业、制造业领域的落地应用,智能制造使生产制造环节从封闭的网络环境走向开放的互联网环境,带来新的安全挑战。与此同时,也将工控系统至于更加开放不确定的环境中,全球范围内针对工业控制系统的攻击事件频繁发生,攻击漏洞数量激增,工业控制系统安全形势愈发严峻。
年“震网”病毒震惊全球工业界,被称为世界上首个工业网络“超级破坏性武器”。而在震网病毒之后,有相继出现了专为攻击工控系统而设计的五大恶意软件:
一,Triton/Trisis,该恶意软件有多种功能,包括读写程序和查询施耐德SIS控制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重新编程它们。Triton/Trisis被用于年针对沙特阿拉伯炼油厂的攻击。
二,Incontroller/PipeDream。它是最近才发现的专门攻击工控系统的恶意软件威胁。美国网络安全和基础设施安全局(CISA)等机构已确定该恶意软件对液化天然气和电力供应商等能源机构和组织构成严重威胁。
三,Industroyer,也称为CrashOverride。它被认为是第一个已知的仅针对电网的恶意软件。该恶意软件的一个显著特点是不针对任何特定技术(工控设备),也不利用任何漏洞。相反,它使用本地ICS通信协议与工业系统进行交互,攻击者以不会触发任何警报的方式向它们发出恶意命令。
四,BlackEnergy,最初是用于DDoS攻击以及下载垃圾邮件和恶意软件的恶意软件。
五,Havex,一种远程访问木马(RAT),最初,Havex被用于从受感染的系统和系统运行的环境中收集数据。另外有研究表明,Havex还可以下载并执行其他代码,这些代码可以查找并连接到基于开放平台通信(OPC)架构的服务器,并收集以后可能用于破坏设备的信息。