谛听 工控安全月报 | 4月
目录
01
工控安全相关政策
-
全国网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》
-
《中国网络安全行业全景图(第十一版)》发布
-
44项网络安全国家标准试点工作部署会在京召开
-
2024年4月ISO/IEC JTC1/SC27工作组会议和全体会议召开
02
工控安全相关事件
-
乌克兰使用破坏性ICS恶意软件Fuxnet攻击俄罗斯基础设施
-
美国多地水务工控系统疑遭俄攻击
-
俄黑客组织沙虫发力,乌克兰多处关键基础设施被破坏
-
西门子工业产品受到PaloAlto防火墙漏洞的影响
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
全国网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》
4月8日,网安标委发布《全国网络安全标准化技术委员会2024年度工作要点》,《要点》从加强网络安全战略规划与标准前瞻研究、加快推进重点领域网络安全国家标准制修订、有效提升网络安全国家标准实施应用成效等5方面部署16项具体工作,提出要尽快研制出台关键信息基础设施边界确定方法、安全能力指标体系、测评方法等急需标准,启动关键信息基础设施主动防御、监测预警等标准研制;加快研制数据安全保护要求、数据交易服务安全等标准,推动发布数据安全风险评估、数据安全评估机构能力要求等标准,开展数据分类分级、数据安全风险评估等标准全国贯标和试点示范工作。
参考链接:
https://www.tc260.org.cn/upload/2024-04-08/1712555188414009837.pdf
02
《中国网络安全行业全景图(第十一版)》发布
4月12日,安全牛第十一版《中国网络安全行业全景图》(以下简称“全景图”)正式发布。本次全景图研究工作于2023年12月下旬正式启动,历时近4个月,共收到510家国内安全厂商4941项申报,实际收录2413项(包含部分往年已收录项目),整体收录比约为48.8%。其中,有31家安全厂商共92项产品/方案/服务首次被全景图收录。数据统计显示,第十一版全景图企业平均申报项目数量为9.69项/企业,同比第十版申报(10.87项/企业)下降约11.1%。安全牛认为,随着宏观经济形势的变化,我国网络安全厂商当前发展策略已经从产品线扩展转向收缩布局,未来将着重发力自身的优势领域。“专业化、精细化、特色化、新颖化”的行业发展特点将进一步形成。
参考链接:
https://www.aqniu.com/industry/101367.html
03
44项网络安全国家标准试点工作部署会在京召开
4月23日,全国网络安全标准化技术委员会(以下简称“网安标委”)秘书处在北京召开了网络安全国家标准试点工作部署会。会上,网安标委秘书处介绍了试点工作部署安排及要求,分享了数据分类分级规则、软件产品开源代码安全评价方法等标准试点工作模式及相关经验。本次试点工作对象是2023年网安标委立项的生成式人工智能服务安全基本要求、数据安全保护要求以及网络安全专用产品系列标准等共44项标准制修订项目,旨在对标准技术要求和核心指标等开展验证,提升标准科学性、合理性及适用性,提高标准质量水平。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240326175042
04
2024年4月ISO/IEC JTC1/SC27工作组会议和全体会议召开
4月28日,国际标准化组织ISO/IEC JTC1/SC27工作组会议和全体会议于2024年4月5日至18日以线下线上结合的形式举行,30个成员国及团体组织参加了会议。全国网络安全标准化技术委员会组织中国代表团一行31人参加了会议。我国代表团重点推动以下国际标准提案取得新进展。一是推进我国牵头的ISO/IEC TR 5891《用于硬件评估的硬件监控技术方法研究》正式发布;二是推进我国牵头的ISO/IEC 27553-2《移动设备生物特征识别身份认证安全要求 第2部分:远程模式》进入国际标准草案;三是推进我国牵头的ISO/IEC 20009-4:2017/Amd1《ZYHW机制纳入ISO/IEC 20009-4》、ISO/IEC 4922-3《安全多方计算 第3部分:基于混淆电路的机制》通过新工作项目提案投票,进入工作草案;四是按照参会方案推进我国牵头的ISO/IEC 27565《基于零知识证明的隐私保护实践指南》等6项,及我国参与的ISO/IEC 27554《使用ISO 31000评估身份管理风险》等12项提案。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240428101608
工控安全相关事件
01
乌克兰使用破坏性ICS恶意软件Fuxnet攻击俄罗斯基础设施
4月15日,SecurityWeek和Claroty博文的消息称,据信隶属于乌克兰安全部门的一个名为Blackjack的黑客组织对俄罗斯多个重要组织发起了攻击。Blackjack披露了针对Moscollector的涉嫌攻击的细节,Moscollector是一家总部位于莫斯科的公司,负责供水、污水处理和通信系统等地下基础设施。“俄罗斯的工业传感器和监控基础设施已被禁用,”黑客声称。“它包括俄罗斯的网络运营中心(NOC),该中心监视和控制天然气、水、火灾报警器和许多其他设备,包括庞大的远程传感器和物联网控制器网络。”黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。此外,他们还声称已经禁用了87,000个传感器,其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标,他们声称使用了Fuxnet,这是一种被他们称为“类固醇震网”的恶意软件,这使得他们能够物理破坏传感器设备。
参考链接:
02
美国多地水务工控系统疑遭俄攻击
4月18日,安全内参消息,美国网络安全公司Mandiant的专家表示,一家与俄罗斯政府有关联的黑客组织,涉嫌在1月对美国得克萨斯州一处水处理设施发动网络攻击,导致水罐溢出。黑客通过访问敏感的工业设备来干扰美国水处理设施的正常运营,这类攻击在过去是十分罕见的。去年11月,宾夕法尼亚州也遭到了类似的网络攻击,当时美国官员指责伊朗是幕后黑手。缪尔舒镇城市经理Ramon Sanchez告诉CNN(美国有线电视新闻网),黑客入侵了一个用于工业软件的远程登录系统,获取了该系统操作水罐的权限。Sanchez在一封电子邮件中表示,被攻击的水罐溢出了大约30-45分钟,直到缪尔舒镇官员将被黑客攻破的工业机器下线并切换到手动操作才停止。拜登政府建议各州官员制定安全计划,保护他们的水务系统免受黑客攻击。
参考链接:
https://mp.weixin.qq.com/s/UYCwV1zWp13UJADuuROpUw
03
俄黑客组织沙虫发力,乌克兰多处关键基础设施被破坏
4月19日,乌克兰计算机应急响应团队(CERT-UA)发布报告称,俄罗斯黑客组织“沙虫”(Sandworm)旨在破坏乌克兰约 20 家关键基础设施的运行。该黑客组织也被称作APT44 ,与俄罗斯武装部队总参谋部主管部门(GRU)有关,主要针对各种目标进行网络间谍活动和破坏性攻击。CERT-UA 的报告称,2024 年 3 月,APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。在某些情况下,Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络,也可能部署被篡改的软件或者利用软件漏洞,成功渗透到系统中。CERT-UA对受影响实体的日志进行调查后发现,Sandworm 主要依靠QUEUESEED/IcyWell/Kapeka、BIASBOAT、LOADGRIP、GOSSIPFLOW等恶意软件对乌克兰公共事业供应商进行攻击。乌克兰机构认为,这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。
参考链接:
https://cert.gov.ua/article/6278706
04
西门子工业产品受到PaloAlto防火墙漏洞的影响
4月23日,西门子透露,其配置有Palo Alto Networks虚拟下一代防火墙(NGFW)的Ruggedcom APE1808设备可能受到CVE-2024-3400(CSVV v3:10.0)的影响。CVE-2024-3400是一个操作系统命令注入漏洞,漏洞影响配置了GlobalProtect网关/GlobalProtect门户(或两者)并启用设备遥测的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火墙,它可允许未经身份验证的攻击者以root权限远程执行代码。在特定PAN-OS版本和不同功能配置下,未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。目前官方已发布安全更新补丁,修复计PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1的更新。所有其他版本的PAN-OS不受影响。
参考链接:
https://cert-portal.siemens.com/productcert/html/ssa-750274.html
蜜罐数据分析
“谛听”工控蜜罐在4月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了4月份和3月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,4月份IEC104和CODESYS协议蜜罐受到的攻击数量低于3月份受到的攻击数量,除此以外4月份各协议蜜罐受到的攻击数量都高于3月份受到的攻击数量。
图1. 4月份和3月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了4月份和3月份攻击量最多的10个国家对比情况。从图中可以看到,4月份美国和意大利对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 4月份和3月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 4月份来自北京的流量最多,来自浙江的流量位居第二,而来自江苏的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 4月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
本月,“谛听”工控蜜罐中的Modbus蜜罐短时间内收到了来自同一地址超过34万次的攻击(在数据分析中去除了该异常数据)。这可能暗示着对特定目标的有组织攻击。我们正在对这一事件进行深入的分析,并在有新的发现或进展时及时更新。
俄罗斯、乌克兰联网工控设备分析
截至2024年4月底,俄乌战争仍在胶着状态,双方都付出了巨大代价。俄罗斯继续对乌克兰东部顿巴斯地区发动进攻,重点目标是卢甘斯克州的北顿涅茨克和利西昌斯克。俄军在过去几天取得了一些进展,但乌克兰军队仍在进行顽强抵抗。乌克兰军队则利用美国和西方提供的武器,对俄军进行反击,并袭击了俄罗斯境内的目标,包括燃料库和炼油厂。乌克兰总统泽连斯基呼吁西方国家提供更多军事援助,并对俄罗斯实施更严厉的制裁。据联合国估计,俄乌战争已造成超过6000名平民死亡,数百万人流离失所。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年4月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,4月探测到的数量相比于3月份,AMQP协议有较大幅度的减少,其他各个协议变化不明显。同时联网摄像头暴露数量相比3月有一定程度下降,由1381降至1354。
图4. 3月、4月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与3月相比,4月Nport和AMQP协议有较大幅度的减少,Modbus和XMPP协议基本没有变化。4月联网摄像头暴露数量有大幅度减少,由1921减少至1826。
后续团队将对相关信息持续关注。
图5.3月、4月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
