新的研究揭示了2018年上半年襲擊ICS系統面臨的最大威脅,以及今年剩餘時間內的最新威脅。
工業控制系統(ICS)越來越成為目標,因為攻擊者利用網際網路來瞄準組織工業網絡上的機器。
卡巴斯基實驗室工業控制系統網絡應急響應小組(ICS CERT)今天公布了2018年上半年調查工業自動化系統威脅狀況的研究結果。研究人員從ICS計算機中提取ICS CERT團隊認為部分組織的數據'工業基礎設施。
本研究中的所有計算機都運行Windows並執行以下一項或多項功能:數據網關,數據存儲伺服器,SCADA伺服器,工程師和操作員的固定工作站以及人機界面(HMI)。數據還來自工業控制網絡管理員的計算機和為工業自動化系統構建軟體的開發人員。
數據顯示,遭受網絡攻擊的ICS機器的百分比正在穩步上升,從2017年上半年的36.6%上升到2017年下半年的37.7%,到2018年上半年的41.2%。
「在2018年上半年,我們看到更多的證據表明合法的遠程訪問工具[RATs]用於滲透或參與攻擊ICS,」卡巴斯基實驗室安全研究員Kirill Kruglov說。威脅行為者繼續使用魚叉式網絡釣魚攻擊與合法軟體(如RAT)一起攻擊和加強對ICS機器的攻擊。
他指出,數據顯示攻擊者正在變得越來越先進。研究人員看到威脅行為者使用更多針對性的魚叉式網絡釣魚電子郵件和惡意軟體進行ICS例行自動化。
克魯格洛夫繼續說,這次襲擊背後的主要動機是工業和政府間諜活動。Cryptomining和勒索軟體根植於經濟利益。雖然他說一些攻擊是出於破壞的動機,但很少有。
網際網路是一個不斷增長的攻擊媒介
Kruglov說,研究人員已經看到由於惡意軟體URL,受感染的網站,水坑計劃等導致的網際網路源攻擊的增加。但是,基於電子郵件的攻擊在破壞ICS機器周邊方面取得了更大的成功。
2018年上半年企業工業網絡基礎設施機器的主要攻擊媒介是網際網路(27.3%),可移動媒體(8.4%)和電子郵件客戶端(3.8%)。一年前,網際網路是20.6%的ICS計算機受到威脅的源頭。
研究人員在一篇關於他們研究結果的文章中解釋說:「與控制網絡被隔離的傳統觀點相反,在過去幾年中,網際網路成為組織工業網絡上公司的主要感染源 。」
卡巴斯基實驗室數據中約有42%的機器在2018年上半年有定期或全時的網際網路連接。其餘的每月連接不超過一次,而且頻率較低。由於受限於工業網絡的限制,ICS伺服器和工程師/操作員工作站通常沒有全時直接在線訪問。在維護期間可以進行訪問。
ICS發生了崩潰和其他重大事故
研究人員概述了2018年觸及ICS機器的一些主要攻擊事件,這些事件始於Spectre和Meltdown漏洞的消息。包括SCADA伺服器,工業計算機和網絡設備在內的工業設備容易受到這兩種攻擊。報告受影響產品的公司包括思科,西門子,施耐德電氣,ABB和橫河電機。
Cryptominers是今年ICS的主要攻擊趨勢:卡巴斯基實驗室的數據顯示,自4月以來,使用密碼管理器攻擊的ICS機器的百分比飆升,並在2018年上半年達到6%,在六個月內上升了4.2個百分點。挖掘惡意軟體的主要問題是工業信息系統的負擔,這可能會導致缺乏穩定性和控制。
攻擊仍在繼續:4月份,全球的Cisco IOS交換機受到了思科智能安裝客戶端軟體中利用CVE-2018-0171的網絡攻擊。據思科Talos 報導,有超過168,000臺設備暴露在外。5月,新的VPNFilter惡意軟體被發現感染了54個國家的至少500,000臺路由器和網絡連接存儲設備。惡意軟體可以竊取憑據,檢測SCADA設備並啟動殭屍網絡。
雖然全球勒索軟體數量下降,但它們在ICS機器中上升,從1.2%增加到1.6%。研究人員報告說,在WannaCry和NotPetya活動之後,工業組織的風險「似乎很難被低估」。