谛听 工控安全月报 | 11月

目录

01

工控安全相关政策

• 通用漏洞评分系统CVSS发布4.0版本

• 工业和信息化部印发《“5G+工业互联网”融合应用先导区试点工作规则（暂行）》《“5G+工业互联网”融合应用先导区试点建设指南》

• 欧洲议会通过《数据法案》

• 工业和信息化部报批公示1项行业标准和8项推荐性国家标准

• 工业和信息化部组织开展2023年工业互联网试点示范项目申报工作

02

工控安全相关事件

• 思科修复其网络安全产品中的27个安全漏洞

• Sandworm利用新型攻击破坏乌克兰电力供应

• 江森自控修复其工业制冷产品中的严重漏洞

• DP World遭遇网络攻击导致约3万个集装箱滞留港口

• 安天发布《LockBit勒索软件样本分析及针对定向勒索的防御思考》

• 法国污水处理机构SIAAP遭遇网络攻击

• 通用电气公司对网络攻击和数据盗窃指控进行调查

• 伊朗黑客部分控制了美国地方城镇供水系统

• 美国北德克萨斯州自来水公司遭遇网络攻击

03

 蜜罐数据分析

04

 俄罗斯、乌克兰联网工控设备分析

工控安全相关政策

01

通用漏洞评分系统CVSS发布4.0版本

11月2日，事件响应和安全团队论坛（FIRST）在其官网更新了CVSS v4.0的相关文档，包括评分计算、规范文档、用户指南、示例、常见问题解答，这表示最新一代版本的CVSS v4.0漏洞评分标准正式发布，同时距离上一次主要版本CVSS v3.0发布已经过去了八年。主要的变化有：强化CVSS不仅仅是基本分数的概念、通过添加新的基本指标和值来实现更细的粒度、加强披露影响指标、时间指标组更名为威胁指标组等。

参考链接：

https://www.first.org/cvss/v4-0/

02

工业和信息化部印发《“5G+工业互联网”融合应用先导区试点工作规则（暂行）》《“5G+工业互联网”融合应用先导区试点建设指南》

11月6日，为指导各地积极有序开展“5G+工业互联网”融合应用先导区试点建设，推动“5G+工业互联网”规模化发展，进一步激发各类市场主体创新活力，打造具有全国、区域引领效应的产业集群，工信部信息通信管理局编制并印发了《“5G+工业互联网”融合应用先导区试点工作规则（暂行）》《“5G+工业互联网”融合应用先导区试点建设指南》，各地需结合实际开展相关试点工作。

参考链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art\_8cf1d738035c404dbedaf9074657992a.html

03

欧洲议会通过《数据法案》

11月9日，欧洲议会以481票赞成、31票反对、71票弃权通过《数据法案》。该法案旨在明确数据访问、共享和使用的规则，规定获取数据的主体和条件，使更多私营和公共实体能够共享数据。该法案规定了通过使用互联产品或相关服务（例如物联网、工业机械）生成的数据的共享规则，并允许用户访问它们生成的数据，这将有助于新服务的开发，特别是在需要大量数据进行算法训练的人工智能领域。同时法案还旨在降低联网设备的售后服务和维修成本。另外，该法案需要欧洲理事会正式批准才能成为法律。

参考链接：

https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data

04

工业和信息化部报批公示1项行业标准和8项推荐性国家标准

11月14日，根据标准制修订计划，相关标准化技术组织已完成《工业互联网平台 工业设备上云通用管理要求 第1部分：总则》1项行业标准和《工业互联网平台 监测分析指南》等8项推荐性国家标准的制修订工作。在以上标准批准发布之前，为进一步听取社会各界意见，工信部对其予以公示，公众可以登录中国电子工业标准化技术协会网站（www.cesa.cn）“标准报批公示”栏目阅览，并进行意见反馈，公示截止到2023年12月14日。

参考链接：

https://wap.miit.gov.cn/zwgk/wjgs/art/2023/art\_2ae136779fa84971aa5d624567d3f689.html

05

工业和信息化部组织开展2023年工业互联网试点示范项目申报工作

11月17日，为深入实施工业互联网创新发展战略，促进工业互联网融合应用，工信部按照《工业互联网创新发展行动计划（2021-2023年）》、《工业互联网专项工作组2023年工作计划》要求，组织开展2023年工业互联网试点示范项目申报工作。申报方向包含网络类、安全类等7大类27个具体方向，各推荐单位需要在2023年12月20日前报送相关申报材料，工信部会对试点示范申报书及视频材料进行评审，遴选认定符合要求的项目开展试点示范，试点示范期为2年。

参考链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art\_3559bd820fba409fa5ea9eaeaccf34ca.html

工控安全相关事件

01

思科修复其网络安全产品中的27个安全漏洞

11月1日，思科发布安全事件响应，称解决了自适应安全设备（ASA）、Firepower管理中心（FMC）和Firepower威胁防御（FTD）产品中的总共27个漏洞。事件响应中总共发布了22份安全公告，分别描述了三种网络安全产品中安全影响评级为严重、高和中的产品漏洞。其中最严重的漏洞是CVE-2023-20048（CVSS v3：9.9分），该漏洞会使得受影响产品的“通过Web服务接口发送的配置命令授权不足”而导致的FMC中的命令注入错误。

参考链接：

https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-74985

02

Sandworm利用新型攻击破坏乌克兰电力供应

11月9日，美国网络安全公司Mandiant发布报告称2022年底，俄罗斯军方支持的APT组织Sandworm（沙虫）针对乌克兰关键基础设施组织进行了攻击。该事件是一次多事件网络攻击，利用一种影响工业控制系统（ICS）和操作技术（OT）的新技术，攻击者首先在2022年10月10日通过使用OT级“离地攻击”（LotL）技术使变电站断路器跳闸从而导致意外断电，随后于2022年10月12日在受害者的IT环境中部署了恶意数据擦除软件CADDYWIPER的新变种，从而实施了第二次破坏性攻击。Mandiant表示，此次攻击是破坏目标设施物理运行的网络事件的罕见事例，是自俄乌战争开始以来第一起已知的因网络攻击导致断电的公开案例，还是首次与导弹袭击同时发生的此类网络攻击事件。

参考链接：

https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

03

江森自控修复其工业制冷产品中的严重漏洞

11月9日，江森自控发布了产品安全咨询报告，其中包括针对外部研究人员在其部分工业制冷产品中发现的严重漏洞的补丁。根据江森自控和美国网络安全机构CISA发布的公告，该漏洞被追踪为CVE-2023-4804（CVSS v3：10.0分），可能允许未经授权的用户访问意外暴露的调试功能并获得对Quantum HD系统的完全管理控制。目前受影响的产品包括Frick Quantum HD Unity压缩机、AcuAir、冷凝器/容器、蒸发器、发动机室和界面控制面板，江森自控已针对每个受影响的产品发布了更新。江森自控是一家在美国、爱尔兰注册的跨国集团，总部位于爱尔兰科克，生产建筑物消防、暖通空调和安全设备。

参考链接：

https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2023-09.pdf?la=en&hash=3A4A98244141122D9019B5EAF3B58314DAA63E4D

https://www.cisa.gov/news-events/ics-advisories/icsa-23-313-01

04

DP World遭遇网络攻击导致约3万个集装箱滞留港口

11月12日，国际物流公司DP World Australia发布媒体公告，称其遭遇了严重破坏澳大利亚多个大型港口正常货运的网络攻击。根据报告，11月10日的一次网络攻击中断了其港口的陆上货运业务，为此，DP World启动了应急计划，并与网络安全专家展开合作，前公司正在测试恢复正常业务运营所需的关键系统。另外，媒体声明中还提到公司的部分数据很可能已经被非法访问、甚至遭到泄露，然而内部调查仍在进行中，该情况尚未证实。DP World专注于货运物流、港口码头运营、海事服务和自由贸易区，负责运营40个国家的82个海运和内陆码头，其每年处理由70000艘船只运送的约7000万个集装箱，相当于全球集装箱运输量的约10%。

参考链接：

https://www.documentcloud.org/documents/24164011-media-statement-update-on-cybersecurity-incident-and-operational-response\_12-nov-2023cleaned

05

安天发布《LockBit勒索软件样本分析及针对定向勒索的防御思考》

11月17日，威胁检测对抗团队安天发布应急响应与分析报告。LockBit勒索软件被发现于2019年9月，持续活跃至今，其背后的组织开发人员通过勒索软件即服务（RaaS）模式运营，组织附属成员较多，通过第三方获取访问凭证、新漏洞武器化利用和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件；该组织于2021年6月发布了LockBit勒索软件2.0版本，同时发布专属数据窃取工具StealBit，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略，在此基础上，于2021年8月增加了DDoS攻击威胁，构成三重勒索；2022年6月推出了3.0版本，3.0版本的部分代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black。

参考链接：

https://www.antiy.cn/research/notice&report/research\_report/LockBit.html

06

法国污水处理机构SIAAP遭遇网络攻击

11月18日，法国污水处理机构Service public de l'assainissement francilien，SIAAP发布网络安全公告，称其自11月17日开始遭受网络攻击，且此次攻击的事态发展已经证实了其规模和严重性，鉴于这次明显有组织的攻击及其对污水处理运作的影响，SIAAP已向司法警察部门提出投诉，并向国家信息技术和自由委员会（CNIL）提起申诉，同时IT团队已经切断工业系统的所有外部连接，以防止攻击蔓延。目前，尚无黑客组织宣布对此次攻击负责。

参考链接：

https://www.siaap.fr/presse-publications/publications/detail/actualites/bulletin-cyberattaque/

07

通用电气公司对网络攻击和数据盗窃指控进行调查

11月25日，美国网络安全网站BleepingComputer发布新闻称通用电气正在调查有关威胁行为者在网络攻击中破坏了公司开发环境并泄露据称被盗数据的指控。通用电气是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业。11月22日，一个名为IntelBroker的威胁行为者试图在黑客论坛上以500美元的价格出售通用电气“开发和软件管道”的访问权限。在没有卖出所谓的访问权限之后，IntelBroker再次发帖称其正在出售网络访问权限和据称被盗的数据。在通用电气发送给BleepingComputer的一份声明中，通用电气表示其正在调查所谓的数据泄露事件。

参考链接：

https://www.bleepingcomputer.com/news/security/general-electric-investigates-claims-of-cyber-attack-data-theft/

08

伊朗黑客部分控制了美国地方城镇供水系统

11月25日，美国宾夕法尼亚州本地化新闻网站BeaverCountian发布新闻称其独家获悉：自称与伊朗政府有联系的网络游击组织部分控制了阿里奎帕市的市政供水系统。该国际黑客团伙表示其目标是以色列公司制造的关键基础设施硬件，该团伙关闭了从阿里奎帕市政水务局处理厂向浣熊镇和波特镇提供饮用水的供应线上的水泵。在水泵被停用后，其控制系统面板上显示出一行责任信息：“你已被黑客攻击。打倒以色列。‘以色列制造’的每一台设备都是Cyber Av3ngers的合法目标。”目前阿里奎帕市政工作人员已经停用了受影响设备，正依靠备用方法维持社区的供水水压。

参考链接：

https://beavercountian.com/content/special-coverage/iranian-linked-cyber-army-had-partial-control-of-aliquippa-water-system

09

美国北德克萨斯州自来水公司遭遇网络攻击

11月29日，据美国网络安全媒体Recorded Future News报道，德克萨斯州名为North Texas Municipal Water District（NTMWD）的自来水供应公司遭遇网络攻击，目前DAXIN勒索软件组织已经将其添加到Tor泄露网站的受害者名单中。DAXIN声称从NTMWD窃取了大量敏感数据，并威胁要公开这些数据，包括董事会会议记录、内部项目文档、人员详细信息、审计报告等。NTMWD已通知执法部门并聘请专家来调查袭击的严重程度。目前大部分网络访问已恢复，但电话系统仍处于关闭状态。NTMWD拥有850多名员工，为该州超过13个城市提供批发水、废水和固体废物管理服务。

参考链接：

https://therecord.media/north-texas-water-utility-cyberattack

蜜罐数据分析

“谛听”工控蜜罐在11月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。

图1展示了2023年11月份和10月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到，11月份ATG、Tridium Fox、IEC104、CIP和EGD协议蜜罐受到的攻击数量高于10月份受到的攻击数量，除此以外11月份各协议蜜罐受到的攻击数量都低于10月份受到的攻击数量。

图1.  11月份和10月份蜜罐各协议攻击量对比

（数据来源“谛听”）

图2展示了11月份和10月份攻击量最多的10个国家对比情况。从图中可以看到，11月份荷兰、俄罗斯、保加利亚和新加坡对蜜罐的攻击量有所减少，此外其他所有国家对蜜罐的攻击量均有所提高。

图2.  11月份和10月份其他各国

对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出， 11月份来自浙江的流量最多，来自北京的流量位居第二，而来自江苏的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区，其他省份的流量有所波动。

图3.  11月份中国国内各省份流量（TOP10）

（数据来源“谛听”）

俄罗斯、乌克兰联网工控设备分析

俄罗斯国防部表示，乌军不断炮击俄罗斯边境地区，发动无人机袭击，并进行破坏活动。俄罗斯防空系统在亚速海上空摧毁两枚乌克兰的S-200导弹。

由于俄罗斯对基辅的大规模无人机袭击，损坏了基辅周围的主要电力线，这造成了引入电力供应限制的风险。基辅供电部门负责人表示：“由于这次密集且非常强大的沙希德无人机袭击，为基辅和周围城市提供电力的几条强大的主电线在夜间受损并关闭。因此，在恢复这些线路期间，我们可能会对电力供应施加某些限制。”

为了深入了解俄罗斯和乌克兰的工控领域状况，团队持续关注并进行了高交互探测，以获取被扫描设备的详细信息。

/2023年11月俄罗斯、乌克兰暴露工控设备相关协议/

从图4乌克兰各协议暴露数量对比图中可以看出，11月探测到的数量与10月份相比，AMQP协议有小幅下降，其他各个协议几乎均没有太大变化。同时联网摄像头暴露数量相比10月有大幅度减少，由1543降至1245。

图4. 10月、11月乌克兰各协议

暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，与10月相比， 11月份各个协议都有一定程度的减少，Modbus协议设备略有增加。11月联网摄像头暴露数量也有大幅度降低，由2094降低至1869。后续团队将对相关信息持续关注。

图5. 10月、11月俄罗斯各协议

暴露工控资产数量对比

（数据来源“谛听”）

扫码关注我们

            微信号｜谛听 ditecting