概述

3月3日,据绿盟威胁情报中心监测,知名黑客组织“匿名者”对俄罗斯900多个核心工业控制系统展开网络攻击,给俄罗斯关键行业的生产和运营造成了持续性的危害。

攻击背景

随着俄乌冲突进一步升级,许多黑客组织也开始加入到俄乌双方的网络攻击活动中。2月25日,国际黑客组织“匿名者”(Anonymous)官宣正式对俄罗斯政府发动网络战争,并声称这只是一个开始。截至2月28日,匿名者先后对俄罗斯关键基础设施进行网络攻击,攻击目标包括交通、能源、政府、军队、银行等。例如工业气体控制系统、俄罗斯联邦储蓄银行、私人银行、国家电视台、军事通讯、政府网站、国防部网站等。

最新事件

3月3日,匿名者组织在官方Twitter上发布了新一批攻击目标,涉及超过900个俄罗斯暴露在公网的工业控制系统。这批目标资产被发布在可公开下载的网站pastebin上,方便其他组织获取和协同攻击。

本次发布的俄工控资产,主要涉及PLC(可编程逻辑控制器)、RTU(远程终端控制单元)、DCS(分布式控制系统)和SCADA(数据采集与监控系统)等各类常见工业控制系统,数据包括资产IP地址、端口和协议等。匿名者组织此次发布的俄罗斯暴露在互联网上的工控资产主要包括Rockwell、SIEMENS和Schneider等厂商的设备,协议主要包括Modbus、BACnet等。

事件分析

工业控制系统作为重要的资产类型,网络战时通常会成为攻击的重要目标。例如本次俄乌冲突中,“匿名者”已经对俄工业气体控制系统发起过攻击。在针对工控资产攻击过程中,暴露在互联网的资产往往“首当其冲”成为攻击者优先攻击的对象。结合本次攻击事件,各国家对互联网暴露的工控资产应进行提前梳理和处置,避免直接暴露在互联网上,被攻击者利用。

据绿盟科技网络空间测绘系统的监测,全球上很多国家都存在工控资产暴露在互联网上的问题,将导致国家网络安全面临严峻的挑战。

安全启示

工业领域的数据价值高、社会影响较大,使得近年来针对工控系统的网络攻击事件频发。尤其在现在社会的网络战中,工控系统是攻击者关注的重点,同时暴露在互联网上的工控资产无疑成为攻击者的入口,使得攻击者探测并锁定攻击目标变得更加容易,加剧了工控系统的安全风险。

建议各国家重要企业采用网络空间测绘技术梳理暴露在互联网上的工控资产,尤其是关键基础设施或关键业务系统资产,尽量避免暴露在互联网,降低遭受攻击的风险。同时,各国监管部门应对其管辖范围内资产进行周期性梳理、风险评估和引导处置,避免重要工控资产直接暴露于公网。

声明:本文来自绿盟科技威胁情报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。