谛听 工控安全月报 | 5月
目录
01
工控安全相关政策
-
中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明
-
工业和信息化部关于印发《工业和信息化领域数据安全风险评估实施细则(试行)》
-
“C3安全大会——人工智能和数据安全标准宣贯会”在南京成功召开
-
“2024年网络安全国家标准贯标深度行(首站网约车行业)”活动在北京举办
02
工控安全相关事件
-
全球首例光伏电场网络攻击事件曝光
-
以色列理工学院发表西门子软件固件的突破性成果
-
罗克韦尔向全球客户发出紧急断网通知
-
六方云发布Campbell Scientific CSI Web Server的安全漏洞预警
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明
5月6日,应法兰西共和国总统埃马纽埃尔·马克龙邀请,中华人民共和国主席习近平于2024年5月5日至7日对法国进行国事访问。在两国建交60周年之际,两国元首重申共同致力于深化2023年4月5日至7日法兰西共和国总统访华期间达成的共识,并开辟新的合作渠道。两国元首深信两国之间持续对话对于为全球挑战提供持久解决方案的重要性,决定加强中法关系作为全球挑战国际治理推动力的作用。中国将继续以适当级别参加2023年6月新全球融资契约峰会的后续委员会会议,认真研究《人类与地球巴黎契约》。为此,在2023年4月7日《中法联合声明》达成共识的基础上,两国元首尤其在人工智能方面达成多项共识。
参考链接:
https://www.gov.cn/yaowen/liebiao/202405/content\_6949586.htm
02
工业和信息化部关于印发《工业和信息化领域数据安全风险评估实施细则(试行)》
5月10日,工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》(下称《实施细则》),引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平。重要数据和核心数据处理者每年至少开展一次数据安全风险评估。该细则2024年6月1日起施行。《实施细则》提出,评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。行业监管部门根据工作需要,可以自行或组织数据安全风险评估支撑机构库中的机构,对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。重要数据和核心数据处理者对行业监管部门发起的专项风险评估及监督检查应当予以配合,并对评估发现的相关问题及时进行改正。
参考链接:
https://www.gov.cn/zhengce/zhengceku/202405/content\_6953528.htm
03
“C3安全大会——人工智能和数据安全标准宣贯会”在南京成功召开
5月18日,由全国网络安全标准化技术委员会(以下简称“网安标委”)秘书处主办、中国电子技术标准化研究院和亚信安全共同承办的“C3安全大会——人工智能和数据安全标准宣贯会”在南京市成功举办。此次宣贯会聚焦人工智能和数据安全标准主题,邀请网络安全业界专家、科研院所和行业企业代表围绕生成式人工智能服务安全、数据跨境流动安全、数据安全风险评估等标准进行解读,分享相关领域技术前沿和标准实践成果。来自网络安全相关行业企业、科研院所和高校等80余名代表参加了此次论坛。论坛对促进生成式人工智能服务安全和数据安全相关标准研制和落地实施起到了积极作用,有利于助力人工智能技术产业规范发展和数据安全保障能力提升。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240528165916
04
“2024年网络安全国家标准贯标深度行(首站网约车行业)”活动在北京举办
5月28日,由全国网络安全标准化技术委员会秘书处主办、中国电子技术标准化研究院承办、滴滴出行协办的“2024年网络安全国家标准贯标深度行(首站网约车行业)”在北京成功举办。会议聚焦数据跨境流动安全、数据安全评估、个人信息匿名化技术、App个人信息安全等主题,邀请网络安全业界专家解读数据跨境流动相关政策及实践。“网络安全国家标准贯标深度行”系列活动是今年网安标委推广标准宣贯与应用的一项重要举措,旨在促进网络安全国家标准深入行业、深入地方、深入企业落地实施,提升标准支撑重点领域网络安全工作实施效能和指导解决网络安全问题的能力,活动首站选择了具有典型应用场景的网约车行业。共有来自网约车行业的20家企业、100余名代表参加了本次贯标活动。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240528172537
工控安全相关事件
01
全球首例光伏电场网络攻击事件曝光
5月1日,日本媒体《产经新闻》报道,黑客劫持了一个由工控电子制造商Contec生产的SolarView Compact大型光伏电网中的800台远程监控设备,用于银行账户盗窃。攻击者利用了Palo Alto Networks在2023年6月发现的一个漏洞(CVE-2022-29303)传播Mirai僵尸网络,并设置了 “后门”程序。通过操纵这些设备非法连接到网上银行,从金融机构的账户转账到黑客的账户,窃取金钱。5月7日,Contec确认了最近对远程监控设备的攻击,并提醒光伏发电设施运营商将设备软件更新至最新版本。
参考链接:
https://www.sankei.com/article/20240501-ZSOLVFVJZZL6BLQJR6S6SJ23GM/
02
以色列理工学院发表西门子软件固件的突破性成果
5月21日,网空闲话消息称,在BLACKHAT 2024 ASIA大会上,以色列理工学院Eyal Semel等研究人员发表了题为《Debug7: Leveraging a Firmware Modification Attack for Remote Debugging of Siemens S7 PLCs》(利用固件修改攻击实施对西门子S7 PLCs的远程调试)的演讲,披露了他们对西门子软件PLCET 200SP和西门子S7-1500固件的突破性成果。这项研究对西门子S7 PLC产品线的未来发展具有重大影响。S7-1500固件几乎在所有西门子的控制器产品中使用,因此,任何控制Windows虚拟机的远程攻击者都可以替换SWCPU,并通过Web服务与恶意C&C服务器建立连接并控制PLC。这项研究揭示了西门子PLC系统的重大安全隐患,提醒各相关企业提高警惕,采取必要的安全措施,保护自身系统免受潜在攻击。
参考链接:
https://mp.weixin.qq.com/s/gTfSElNrLfiZZ\_CC4Q19Zw
https://www.blackhat.com/asia-24/briefings/schedule/#debug-leveraging-a-firmware-modification-attack-for-remote-debugging-of-siemens-s-plcs-38190
03
罗克韦尔向全球客户发出紧急断网通知
5月22日,国家工程研究中心消息,工业自动化巨头罗克韦尔(Rockwell Automation)向其全球客户发出紧急通知,要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统与互联网的连接,原因是全球地缘政治局势紧张,(针对罗克韦尔设备的)网络攻击活动日益猖獗。罗克韦尔表示,网络安全人员绝不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。通过断开互联网连接,企业可以大幅减少自身遭受攻击的风险面,确保攻击者无法直接访问尚未修复安全漏洞的罗克韦尔工控系统,从而阻止攻击者获取目标内部网络的访问权限。
参考链接:
https://mp.weixin.qq.com/s/zcejyNzGB9iPs4hoMXidTw
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html
04
六方云发布Campbell Scientific CSI Web Server的安全漏洞预警
5月30日,六方云超弦实验室发布了一项关于Campbell Scientific CSI Web Server的安全漏洞预警,提醒广大用户关注并采取相应措施,确保数据安全。Campbell Scientific CSI Web Server是一款功能强大的数据采集与控制系统,广泛应用于气象、环境科学、农业、水资源管理、工业控制等领域。该系统通过网页浏览器提供远程访问和管理功能,方便用户随时随地查看和管理数据采集设备和系统。近期该系统的v1.6及更早版本存在路径遍历漏洞,这一漏洞可能导致攻击者越权访问敏感文件、目录或覆盖重要数据,对系统安全构成严重威胁。针对这一安全漏洞,六方云超弦实验室提出了多项解决方案,涵盖升级系统、加强访问控制、及时发现未知威胁等。
参考链接:
https://mp.weixin.qq.com/s/ahNg2t3I3VwPLksO1ScU4w
蜜罐数据分析
“谛听”工控蜜罐在5份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了5月份和4月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,5月份ATG、IEC104、CODESYS和S7协议蜜罐受到的攻击数量高于4月份受到的攻击数量,除此以外5月份各协议蜜罐受到的攻击数量都低于4月份受到的攻击数量。
图1. 5月份和4月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了5月份和4月份攻击量最多的10个国家对比情况。从图中可以看到,5月份荷兰、德国、新加坡对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 5月份和4月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 5月份来自浙江的流量最多,来自上海的流量位居第二,而来自北京的流量位居第三。排名靠前的几个省市基本是是沿海或者工业较为发达的地区,其他省份的流量有所波动。
图3. 5月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
截至2024年5月底,俄乌战争在军事上持续升级,俄军在哈尔科夫地区发起新一轮攻势,占领了约278平方公里的土地,这是自2022年12月以来最大的单次领土收获,同时对哈尔科夫市的轰炸导致至少两人死亡,19人受伤。乌克兰则通过无人机袭击俄罗斯南部的别尔哥罗德地区,造成一人死亡,另一人受伤。乌克兰总统泽连斯基警告,俄罗斯可能在东北部加大攻势,并呼吁国际社会提供更多的防空系统和战斗机以应对当前局势。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年5月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,5月探测到的数量相比于4月份,AMQP协议有小幅度的减少,其他各个协议变化不明显。同时联网摄像头暴露数量相比4月有较大程度的下降,由1354降至1264。
图4. 4月、5月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与4月相比,5月Modbus协议有较大幅度的减少,AMQP和Nport协议没有很大幅度的变化。5月联网摄像头暴露数量有大幅度减少,由1826降低至1800。
后续团队将对相关信息持续关注。
图5.4月、5月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
