近日,卡巴斯基实验室发布《2018上半年工业网络安全报告》,报告对重点安全事件以及对2800个恶意软件的19400个样本进行了数据统计与分析。

重点安全事件

Meltdown& Spectre

简述

2018年初,英特尔,ARM、AMD处理器中发现了允许未经授权访问虚拟内存内容的漏洞。漏洞主要有两种攻击形式,官方命名为Spectre(幽灵)和Meltdown(熔断)。

变体

变体1: 绕过边界检查(CVE-2017-5753)

变体2: 分支注入 (CVE-2017-5715)

变体3: 越权数据缓存加载(CVE-2017-5754)

影响范围

在工业领域中,应用以上微处理器的产品包括SCADA服务器、工业计算机、工业路由器、HMI 在内的数十种产品均受漏洞影响。

  • 横河电机, CENTUM VP / CS 3000现场控制站(FCS)

  • 横河电机ProSafe-RS安全控制站(SCS)

  • 西门子RUGGEDCOM APE

  • 西门子RX1400 VPE

  • 西门子SIMATIC HMI

  • 西门子SIMATIC IPC

  • 西门子SIMATIC S7-1500 PLC

  • ……

Energetic Bear/Crouching Yeti

Energetic Bear/Crouching Yeti是至少从2010年以来就广为人知的APT组织。该组织倾向于攻击不同的公司,攻击目标锁定能源企业。

Energetic Bear组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。

Energetic Bear使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染,以便在水坑攻击中使用它们以达到该组织的目标。

恶意挖矿软件

典型事件

  • 四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。

  • 特斯拉的云服务器感染恶意挖矿软件,目的在于挖掘Monero加密货币。

统计数据显示,感染恶意挖矿软件的工业主机数量自4月份以来急剧增长。

恶意挖矿软件造成的主要危害是增加工业控制系统的负载。对于许多已在满负荷状态运行的工业控制系统而言,恶意挖矿软件将严重影响其运行速度和稳定性。

思科交换机遭大规模攻击

攻击者利用思科智能安装客户端软件中的CVE-2018-0171漏洞替换交换机上的Cisco IOS映像并修改配置文件,导致交换机停止工作,影响全球超过168,000台设备。

VPNFilter

“VPNFilter”,一款的最新恶意软件。目前正在全球蔓延,预估有54个国家遭入侵,受感染设备的数量至少为50万台。

VPNFilter破坏性较强,可通过烧坏用户的设备来掩盖踪迹。利用VPNFilter 恶意软件,攻击者还可以达到多种其他目的,如监视网络流量并拦截敏感网络的凭证;窥探到SCADA系统的网络流量,并部署针对工控系统专用恶意软件;利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;导致路由器瘫并使基础设施无法使用。

卫星系统遭攻击

黑客组织正在针对美国和东南亚国家的卫星通讯、电信、遥感成像服务和军事系统进行网络攻击。事件显示,黑客可以拦截甚至篡改网络运营机构传输给用户的通信。

攻击者使用合法的软件和管理工具PsExec,Mimikatz,WinSCP和LogMeIn来进行感染卫星控制系统,这些工具有效掩盖了攻击活动。

物联网僵尸网络

年初以来,由物联网设备组成的新僵尸网络的数量不断增加。僵尸网络仍主要由未受保护的智能摄像机和路由器组成。

攻击者已经开始使用其他类型的智能设备。例如,在2018年4月出现由互联网电视组成的僵尸网络,被用来对金融机构实施DDoS攻击。

勒索软件

遭受勒索软件攻击的用户数量呈减少趋势,但遭受勒索软件攻击的工业计算机的比例从1.2%上升到1.6%,黑客意识到勒索关键基础设施可获得更高收益。

  • 苹果的独家芯片供应商台积电遭遇到勒索病毒入侵,导致生产线全线停摆,芯片停产影响整个产业链。

  • 13岁女孩在脑部手术过程中,MEDIALOG医疗信息系统遭到加密,所幸无碍。

使用RMS和TeamViewer攻击工业公司

近日出现一系列携带恶意附件的网络钓鱼电子邮件,网络钓鱼电子邮件伪装成合法的商业报价。

这些攻击中使用的恶意软件安装了合法的远程管理软件——TeamViewer或Remote Manipulator System / Remote Utilities(RMS)。这使攻击者能够隐蔽的从远程控制受感染的系统。

数据统计分析

受感染的工业主机占比

结论:2018年上半年受到攻击的工业主机比例持续增加,达到了41.2%

威胁分布

结论:全球工业网络安全形式严峻,中国工业企业正面临严重的威胁。

主要传播媒介

结论:互联网成为工业主机遭受感染的主要来源, 一直以来被认为相对封闭、专业和安全的工业控制系统不断开放,已不再是安全的孤岛。

恶意软件类型

结论:2018上半年共检测到2800个恶意软件的19400个样本,多数是非针对性的随机感染,工业控制系统越来越多使用通用的软硬件增加了遭受感染的几率。

携带者

结论:X64/X86应用程序仍是恶意软件的最主要携带者。恶意挖矿导致通过浏览器攻击工业主机的比率增加;钓鱼电子邮件导致通过Office办公软件攻击工业主机的比率增加。

获取完整报告:https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/09/06075839/H1_2018_ICS_REPORT_v1.0_ENG_05092018.pdf

 

声明:本文来自安点安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。