谛听 工控安全月报 | 2月
目录
01
工控安全相关政策
-
国家能源局综合司印发《2024年电力安全监管重点任务》
-
工业和信息化部等十二部门印发《工业互联网标识解析体系“贯通”行动计划(2024-2026年)》
-
美国白宫发布《关于修订与保障美国船只、港口、码头和海滨设施有关的条例的行政命令》
-
工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》
-
电机工程学会电力信息化专委会公开征求《基于隐私计算的电力数据共享业务互联互通接口规范》标准意见
02
工控安全相关事件
-
美国因关键基础设施遭受网络攻击而制裁6名伊朗官员
-
三菱电机工厂自动化漏洞可能导致远程执行任意恶意代码
-
思科修复使Expressway网关面临CSRF攻击的漏洞
-
宝马被曝云存储配置错误,导致内部敏感数据暴露
-
CACTUS勒索组织声称从施耐德电气窃取1.5TB数据
-
俄罗斯地方电网遭网络攻击大停电,涉事黑客被起诉
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
国家能源局综合司印发《2024年电力安全监管重点任务》
2月1日,为贯彻落实党的二十大和二十届二中全会精神,确保电力系统安全稳定运行和电力可靠供应,推动全国电力安全生产形势持续稳定向好,国家能源局综合司制定并印发了《2024年电力安全监管重点任务》(以下简称《重点任务》)。《重点任务》指出此次任务的基本目标为“杜绝重大以上电力人身伤亡事故、杜绝重大以上电力安全事故、杜绝电力系统水电站大坝垮坝漫坝事故,确保电力系统安全稳定运行和电力可靠供应,保持电力安全生产形势稳定”,重点任务有三个方面:牢固树立安全发展理念、完善电力安全监管体系、推进电力安全监管重点工作。
参考链接:
https://mp.weixin.qq.com/s/uR5pK67qaXIsQHW6xDzC\_A
02
工业和信息化部等十二部门印发《工业互联网标识解析体系“贯通”行动计划(2024-2026年)》
1月31日,为深入实施工业互联网创新发展战略,推动工业互联网标识解析赋能千行百业,工业和信息化部等十二部门开展工业互联网标识解析体系“贯通”行动并印发了相关文件《工业互联网标识解析体系“贯通”行动计划(2024-2026年)》(以下简称《行动计划》)。《行动计划》明确总体目标为“到2026年,建成自主可控的标识解析体系,在制造业及经济社会重点领域初步实现规模应用,对推动企业数字化转型、畅通产业链供应链、促进大中小企业和一二三产业融通发展的支撑作用不断增强”,重点任务是贯通产业链供应链、全面赋能消费品“三品”战略、促进数字医疗整合、完善绿色低碳管理、提升安全管理水平、提高城市数字化水平、推动产业集群升级。
参考链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art\_0cfa3a1f839046f2b0e50dedc8ee9808.html
03
美国白宫发布《关于修订与保障美国船只、港口、码头和海滨设施有关的条例的行政命令》
2月21日,美国白宫发布总统行动简报,美国总统拜登签署《关于修订与保障美国船只、港口、码头和海滨设施有关的条例的行政命令》,旨在通过制定加强该领域网络防御的新要求来改善海事安全,同时扩大了美国海岸警卫队应对网络安全事件的权限。美国海岸警卫队是国土安全部内唯一的军事组织,长期以来有权对已知构成网络威胁的船只进行干预,新的行政命令赋予了美国海岸警卫队七项新的权利。美国海岸警卫队也针对性开展三项行动:一是发布一项海事安全指令,针对位于美国商业战略海港的船岸起重机的所有者和运营商采取网络风险管理行动;二是更新发布一项海事公告,提醒海事利益相关者注意海事港口设备、网络、操作系统、软件和基础设施的潜在漏洞;三是发布关于海上运输系统网络安全拟议规则制定通知,旨在通过建立符合国际和行业认可标准的最低网络安全要求来加强海上运输系统控制系统和网络来最好地管理网络威胁。
参考链接:
04
工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》
2月23日,为贯彻落实习近平总书记关于数据安全的重要指示精神和党中央、国务院决策部署,推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法(试行)》等在工业领域落地实施,加快提升工业领域数据安全保护能力,助力工业高质量发展,夯实新型工业化发展的安全基石,工业和信息化部制定并印发了《工业领域数据安全能力提升实施方案(2024-2026年)》(以下简称《实施方案》)。《实施方案》指出三项重点任务:提升工业企业数据保护能力、提升数据安全监管能力、提升数据安全产业支撑能力,并明确提出到2026年底,工业领域数据安全保障体系基本建立的总体目标。
参考链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art\_1a556c20db1b4e19a12578044db0558e.html
05
电机工程学会电力信息化专委会公开征求《基于隐私计算的电力数据共享业务互联互通接口规范》标准意见
1月31日,为了更好利用隐私计算技术实现电力数据的跨业务融合应用,破解“数据孤岛”困境,由电力信息化专委会管理,国家电网有限公司大数据中心牵头起草编制了中国电机工程学会标准《基于隐私计算的电力数据共享业务互联互通接口规范》征求意见稿,并公开征求意见。该标准规定了电力数据多方协同建模和分析预测时,与合作方隐私计算平台之间的接口规范,包括数据联邦学习建模和多方安全计算时的信息交互技术框架和接口要求,以满足与合作方不同技术架构下的隐私计算互联互通需求,适用于隐私计算电力数据共享业务中的互联互通开发、测试,以及电力数据多方融合应用业务建设时的隐私计算技术选型。
参考链接:
https://www.csee.org.cn/portal/xpzxyjzq/20240131/33134.html
工控安全相关事件
01
美国因关键基础设施遭受网络攻击而制裁6名伊朗官员
2月2日,美国财政部外国资产控制办公室(The Office of Foreign Assets Control of the US Department of the Treasury,OFAC)制裁了六名伊朗伊斯兰革命卫队网络电子指挥部(Islamic Revolutionary Guard Corps,IRGC-CEC)的官员,IRGC-CEC是伊朗政府机构,负责对美国和其他国家的关键基础设施进行一系列恶意网络活动。美国此举是对伊朗伊斯兰革命卫队附属的网络行动人员最近的网络活动做出的回应,其中包括入侵以色列公司Unitronics制造的可编程逻辑控制器(PLC)。PLC等工业控制设备作为网络入侵敏感目标可用于水处理和其他关键基础设施系统。尽管此次网络攻击暂未干扰任何关键基础设施服务,但未经授权访问关键基础设施系统可能会危害公众的安全并造成毁灭性的人道后果。
参考链接:
https://home.treasury.gov/news/press-releases/jy2072
02
三菱电机工厂自动化漏洞可能导致远程执行任意恶意代码
2月5日,日本电子和电气设备制造公司三菱电机生产的工厂自动化产品中发现了两个潜在的严重漏洞(CVE-2023-6942,CVSS v3.1评分:7.5;CVE-2023-6943,CVSS v3.1评分:9.8)。一些工厂自动化(FA)产品受到高严重性身份验证绕过和关键远程代码执行漏洞的影响。受影响的产品包括EZSocket、FR Configurator2、GT Designer3、GX & MT Works、MELSOFT Navigator和MX。未经授权的用户可能会泄露、篡改、破坏或删除产品中的信息,或导致产品出现拒绝服务(DoS)情况。目前三菱电机尚未发布补丁,建议受影响产品的用户实施一些通用的网络安全措施,以降低漏洞被利用的风险。
参考链接:
03
思科修复使Expressway网关面临CSRF攻击的漏洞
2月7日,思科已修补了多个影响其Expressway系列协作网关的漏洞,其中两个漏洞被评为严重程度,其中CVE-2024-20255(CVSS v3.1评分:8.2)可造成跨站点请求伪造(CSRF)攻击。这些漏洞是由于受影响系统的基于Web的管理界面的CSRF保护不足造成的。攻击者可以通过说服API用户点击精心设计的链接来利用这些漏洞。成功利用该漏洞可能允许攻击者以受影响用户的权限级别执行任意操作。如果受影响的用户具有管理权限,这些操作可能包括修改系统配置和创建新的特权帐户。攻击者可以利用CSRF漏洞诱骗经过身份验证的用户单击恶意链接或访问攻击者控制的网页以执行不需要的操作,例如添加新用户帐户、执行任意代码、获取管理员权限等。目前思科已发布免费软件更新来解决本通报中描述的漏洞。
参考链接:
04
宝马被曝云存储配置错误,导致内部敏感数据暴露
2月14日,宝马汽车公司(Bavarian Motor Works,BMW)由于其某个云存储服务器的错误配置而泄露了包括私钥和内部数据在内的敏感公司信息。威胁情报公司SOCRadar的安全研究员Can Yoleri在扫描互联网时发现了这个问题。该云存储服务器托管在Microsoft Azure中,属于BMW的开发环境,由于配置错误被设置为公开而不是私有。在该云存储服务器包含脚本文件,其中包括Microsoft Azure容器访问信息、用于访问私有存储桶地址的密钥以及有关其他云服务的详细信息。暴露的数据包括BMW在中国、欧洲和美国的云服务的私钥,以及用于登录BMW生产和开发数据库的凭据。宝马发言人Chris Overall表示“宝马集团在2024年初解决了这个问题,我们将继续与合作伙伴一起监控情况。”
参考链接:
05
CACTUS勒索组织声称从施耐德电气窃取1.5TB数据
2月20日,据网络安全媒体Security Affairs网站披露,Cactus勒索软件组织声称其窃取了能源管理和工业自动化巨头施耐德电气大约1.5TB数据。施耐德电气是一家专注于能源管理、工业自动化和数字化转型的跨国公司。Cactus勒索软件自2023年3月以来一直活跃,Kroll研究人员报告称,该勒索软件菌株因使用加密来保护勒索软件二进制文件而闻名。Cactus勒索软件使用SoftPerfect网络扫描程序(Netscan)来查找网络上的其他目标,并使用PowerShell命令来枚举端点。该勒索软件通过在Windows事件查看器中查看成功登录来识别用户帐户,它还使用开源PSnmap工具的修改变体。这次攻击影响了施耐德电气资源顾问云平台的服务,导致服务中断,但公司其他部门并未受到网络攻击的影响。
参考链接:
06
俄罗斯地方电网遭网络攻击大停电,涉事黑客被起诉
2月27日,据塔斯社报道,一名49岁的俄罗斯公民即将面临审判。他被控实施网络攻击,导致沃洛格达地区38个村庄陷入黑暗,将面临最长达8年的监禁。该电网攻击发生在一年前。俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示:“我们已经完成对黑客切断沃洛格达地区38个定居点电力供应一事的刑事调查。”俄罗斯联邦安全局沃洛格达地区总局确定,这位1975年出生的本地居民,在2023年2月非法访问了电网的技术控制系统,并切断了沃洛格达地区舍克斯纳区、乌斯秋日纳区和巴巴耶沃区共38个定居点的电力供应。
参考链接:
https://tass.ru/proisshestviya/20035763
蜜罐数据分析
“谛听”工控蜜罐在2月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2月份和1月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,2月份Tridium Fox和CODESYS协议蜜罐受到的攻击数量高于1月份受到的攻击数量,除此以外2月份各协议蜜罐受到的攻击数量都低于1月份受到的攻击数量。
图1. 2月份和1月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了2月份和1月份攻击量最多的10个国家对比情况。从图中可以看到,2月份美国、俄罗斯、西班牙、荷兰和新加坡对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 2月份和1月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 2月份来自浙江的流量最多,来自北京的流量位居第二,而来自江苏的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 2月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
截止至2024年2月27日,俄乌战争的冲突程度有所升级,乌克兰总统泽连斯基表示,俄罗斯对乌克兰主要城市发动了一波导弹袭击,造成至少18人死亡、130多人受伤。哈尔科夫遭遇三波袭击,造成八人死亡,而首都基辅的公寓楼也被导弹击中,导致数十人受伤,多种型号的西方主战坦克和步兵战车已陆续运抵乌克兰,乌克兰部队可能会发动春季反攻,俄罗斯国防部声称对乌克兰的空袭目标是军事设施,并取得了成功。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年2月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,2月探测到的数量与1月份相比,AMQP协议没有变化,其他各个协议变化也不大。同时联网摄像头暴露数量相比1月有小幅度下降,由1459降至1408。
图4. 1月、2月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与1月相比, 2月AMQP、Modbus、XMPP和Nport协议有小幅的升高趋势,其他协议变化不明显。2月联网摄像头暴露数量也有小幅度下降,由1970下降至1919。
后续团队将对相关信息持续关注。
图5. 1月、2月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
