统计数据来自受卡巴斯基产品保护的与ICS相关的Windows设备,包括HMI、SCADA系统、数据存储服务器、数据网关、工程工作站、用于管理工业网络的计算机、以及用于开发工业系统软件的设备。
在2022年上半年,卡巴斯基产品在31.8%的设备上拦截了恶意软件,阻止了ICS系统中7219个恶意软件家族的102,000多个恶意软件变种。其中12.9%为恶意脚本及网络钓鱼、8.6%为间谍软件、5.5%为恶意文件。恶意脚本和网络钓鱼页面通过互联网和电子邮件消息传播。威胁行为者经常在网络钓鱼电子邮件中发送恶意文档。所有这些方法都积极用于初始感染。
在大多数情况下,下一阶段需要攻击者下载间谍软件,该间谍软件用于窃取机密信息、远程访问受感染的机器、以及下载目标恶意软件,包括勒索软件。自2020年以来,在ICS计算机中的间谍软件百分比稳步增长,从2020年上半年的5.6%增长至2022年上半年的8.6%。
用于隐蔽加密货币挖掘的恶意软件在ICS设备中的百分比也缓慢而稳定的增加,在浏览器中执行的Web矿工增加了0.4%,Windows可执行文件矿工增加了0.2%。矿工通常通过用户被恶意脚本重定向到的网站分发,被威胁者放置在提供盗版内容的媒体资源和网站上。
与此同时,ICS计算机中病毒和蠕虫的百分比稳步下降,这可能是因为在OT环境中增加了安全部署,消除了感染热点,并有助于防止自我传播的恶意软件传播。病毒下降了0.8%,蠕虫下降了2.3%。病毒和蠕虫通过可移动媒体、网络文件夹、受感染文件(包括备份)和对Radmin2等过时软件的网络攻击在ICS网络中传播。
有许多相对较旧的病毒和蠕虫仍在传播,例如Kido/Conficker。尽管命令和控制服务器已关闭,但这些较旧的蠕虫和病毒构成了两个威胁,第一它们破坏了受感染系统的安全性,例如打开网络端口并更改设置,第二可能导致软件崩溃或拒绝服务情况。
然而,在ICS网络中也可以看到新版本的蠕虫,威胁行为者用来在受感染的网络中传播间谍软件、勒索软件和矿工。通常这些蠕虫通过利用网络服务中的漏洞进行传播,例如SMB或RDP,这些漏洞已被供应商修复,但仍存在于OT环境中,或者通过使用早期窃取的身份验证数据,甚至通过暴力破解密码进行传播。
此外,ICS计算机上此类恶意软件的百分比下降是由于对可移动媒体进行了更仔细的扫描。当连接可移动媒体时,ICS计算机中恶意软件的百分比连续六个月一直在下降。
在2022年上半年,有0.65%的ICS设备中存在勒索软件,是自2020年以来的历史新高。其中中国台湾地区有1.27%的ICS设备存在勒索软件。
在组织OT基础设施中计算机的主要威胁来源包括互联网(16.5%)、可移动媒体(3.5%)和电子邮件(7%)。ICS设备中可移动媒体的百分比持续下降,而恶意电子邮件和网络钓鱼链接的百分比却稳步增长。这一显著差异部分是由于大量ICS机器提供了匿名统计数据。很大一部分新机器是ICS工程师和楼宇自动化系统的计算机,在这些计算机上广泛使用电子邮件客户端。
楼宇自动化及石油天然气行业遭受恶意软件的百分比显著高于全球平均水平(31.8%),分别为42.2%及39.6%。工程、能源、制造业、及汽车制造业也略高于平均值。在石油天然气行业,有39.6%的ICS设备遭受了恶意软件入侵,其中来自互联网占22.1%、电子邮件占3.3%、恶意文档3.1%、间谍软件8.0%、勒索软件0.8%、Windows可执行文件加密货币矿工2.9%、浏览器Web矿工2.2%。
同时,石油天然气行业ICS设备威胁10.4%来源于可移动媒体,远高于任何其他行业,也高于行业平均值3.5%,主要原因取决于该行业的运作方式。石油天然气行业有大量地理位置分散的企业,连接远程系统和站点通信渠道较差,这意味着在执行维护任务时必须更广泛地使用可移动媒体。
此外在石油天然气行业,源于网络文件夹的入侵为1.2%、病毒为5.1%、蠕虫为7.8%,均远高于平均水平。病毒和蠕虫主要通过可移动媒体和网络文件夹在网络中传播。
在制造业,ICS设备遭受恶意攻击的百分比为33.3%,其中来源于互联网的入侵为20.6%,恶意电子邮件及网络钓鱼链接为4.0%、恶意文档为3.4%、间谍软件为6.4%、勒索软件为0.6%、Windows可执行文件矿工2.8%、浏览器Web矿工2.4%、可移动媒体为4.4%、网络文件夹为0.6%、病毒为2.3%、蠕虫为3.0%。
在2022年上半年,中国台湾地区ICS设备遭受恶意攻击的占比为43.2%,同比增长8.0%,呈显著增长趋势。自2020年起,中国香港地区恶意攻击比例稳步上升,从8.9%逐年增长至28.8。然而中国大陆恶意攻击比例逐渐下降,从51.3%下降至41.4%。该趋势延续到了2022年,中国台湾地区的增速之快,甚至超过了中国大陆。与此同时,中国台湾地区在2022年上半年ICS设备遭受来自互联网的威胁比例激增,飙升至31.9%,在全球排名第一,主要是由于在此期间台湾地区遭受了广泛的攻击活动,其中用户被重定向到网络钓鱼资源。
天地和兴工控防火墙HX-SFW是为工控网络安全专门设计的一款边界安全防护产品,可阻止任何来自安全区域外的非授权访问,有效抑制病毒、木马在工控网络中的传播和扩散。为控制网与企业网的连接、控制网内部各区域的连接提供安全保障,只有信任的设备可接入工控网络,保证可信任的流量在网络上传输。
参考资源:
【1】https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
