数读卡巴斯基《2018上半年工业网络安全报告》

近日，卡巴斯基实验室发布《2018上半年工业网络安全报告》，报告对重点安全事件以及对2800个恶意软件的19400个样本进行了数据统计与分析。

重点安全事件

Meltdown& Spectre

简述

2018年初，英特尔，ARM、AMD处理器中发现了允许未经授权访问虚拟内存内容的漏洞。漏洞主要有两种攻击形式，官方命名为Spectre(幽灵)和Meltdown(熔断)。

变体

变体1: 绕过边界检查(CVE-2017-5753)

变体2: 分支注入 (CVE-2017-5715)

变体3: 越权数据缓存加载(CVE-2017-5754)

影响范围

在工业领域中，应用以上微处理器的产品包括SCADA服务器、工业计算机、工业路由器、HMI 在内的数十种产品均受漏洞影响。

横河电机, CENTUM VP / CS 3000现场控制站（FCS）
横河电机ProSafe-RS安全控制站（SCS）
西门子RUGGEDCOM APE
西门子RX1400 VPE
西门子SIMATIC HMI
西门子SIMATIC IPC
西门子SIMATIC S7-1500 PLC
……

Energetic Bear/Crouching Yeti

Energetic Bear/Crouching Yeti是至少从2010年以来就广为人知的APT组织。该组织倾向于攻击不同的公司，攻击目标锁定能源企业。

Energetic Bear组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。

Energetic Bear使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染，以便在水坑攻击中使用它们以达到该组织的目标。

恶意挖矿软件

典型事件

四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU，致欧洲废水处理服务器瘫痪。
特斯拉的云服务器感染恶意挖矿软件，目的在于挖掘Monero加密货币。

统计数据显示，感染恶意挖矿软件的工业主机数量自4月份以来急剧增长。

恶意挖矿软件造成的主要危害是增加工业控制系统的负载。对于许多已在满负荷状态运行的工业控制系统而言，恶意挖矿软件将严重影响其运行速度和稳定性。

思科交换机遭大规模攻击

攻击者利用思科智能安装客户端软件中的CVE-2018-0171漏洞替换交换机上的Cisco IOS映像并修改配置文件，导致交换机停止工作，影响全球超过168,000台设备。

VPNFilter

“VPNFilter”，一款的最新恶意软件。目前正在全球蔓延，预估有54个国家遭入侵，受感染设备的数量至少为50万台。

VPNFilter破坏性较强，可通过烧坏用户的设备来掩盖踪迹。利用VPNFilter 恶意软件，攻击者还可以达到多种其他目的，如监视网络流量并拦截敏感网络的凭证;窥探到SCADA系统的网络流量，并部署针对工控系统专用恶意软件；利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;导致路由器瘫并使基础设施无法使用。

卫星系统遭攻击

黑客组织正在针对美国和东南亚国家的卫星通讯、电信、遥感成像服务和军事系统进行网络攻击。事件显示，黑客可以拦截甚至篡改网络运营机构传输给用户的通信。

攻击者使用合法的软件和管理工具PsExec，Mimikatz，WinSCP和LogMeIn来进行感染卫星控制系统，这些工具有效掩盖了攻击活动。

物联网僵尸网络

年初以来，由物联网设备组成的新僵尸网络的数量不断增加。僵尸网络仍主要由未受保护的智能摄像机和路由器组成。

攻击者已经开始使用其他类型的智能设备。例如，在2018年4月出现由互联网电视组成的僵尸网络，被用来对金融机构实施DDoS攻击。

勒索软件

遭受勒索软件攻击的用户数量呈减少趋势，但遭受勒索软件攻击的工业计算机的比例从1.2％上升到1.6％，黑客意识到勒索关键基础设施可获得更高收益。