谛听 工控安全月报 | 9月
目录
01
工控安全相关政策
-
4项网络安全相关国家标准获批发布
-
美国防部发布《2023年网络战略摘要》
-
全国信息安全标准化技术委员会公开征求《信息安全技术 网络安全保险应用指南》(征求意见稿)意见
-
全国信息安全标准化技术委员会公开征求《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见
02
工控安全相关事件
-
APT28组织针对乌克兰关键能源基础设施进行网络攻击
-
今年以来,英国关键基础设施严重网络攻击事件暴增
-
美国-加拿大水务委员会遭到NoEscape勒索软件网络攻击
-
Omron公司修补被工控恶意软件利用过的PLC和工程软件漏洞
-
FBI和CISA公开关于勒索软件Snatch的IoC和TTP
-
研究人员披露针对俄罗斯国防工业的MataDoor后门攻击
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
4项网络安全相关国家标准获批发布
9月7日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2023年第7号),批准了583项推荐性国家标准和6项国家标准修改单,其中包括全国信息安全标准化技术委员会归口的4项网络安全相关的国家标准,分别是《信息安全技术 网络安全服务能力要求》(GB/T 32914-2023)、《信息安全技术 信息安全控制评估指南》(GB/T 32916-2023)、《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)、《信息安全技术 信息系统密码应用设计指南》(GB/T 43207-2023)。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20230914101656
02
美国防部发布《2023年网络战略摘要》
9月12日,美国防部(U.S. Department of Defense, DOD)正式发布了非机密战略文件《2023年网络战略摘要》,阐述美国防部为应对当前和未来的网络威胁将采取的四项总体优先事项,分别为:保卫国家、准备战斗并赢得国家战争、与盟友和合作伙伴协同保护网络领域、在网络空间建立持久优势。该文件概述了美国防部将如何最大限度地发挥其网络能力来支持综合威慑,并与其他国家力量协同行动,强调了国防部在投资和确保其网络和基础设施的防御性、可用性、可靠性和弹性方面的行动,以支持非国防部机构发挥其相关作用,并保护国防工业基地。
参考链接:
03
全国信息安全标准化技术委员会公开征求《信息安全技术 网络安全保险应用指南》(征求意见稿)意见
9月13日,信安标委发布通知,公开征求《信息安全技术 网络安全保险应用指南》(征求意见稿)意见。《信息安全技术 网络攻击和网络攻击事件判定准则》描述了网络安全保险的概念、作用和主要应用阶段,提出了网络安全保险应用各阶段的流程和方法,适用于指导采用网络安全保险转移风险的组织,也可为保险人和服务方提供参考。征求意见需在2023年11月12日24:00前反馈信安标委秘书处。
参考链接:
04
全国信息安全标准化技术委员会公开征求《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见
9月21日,信安标委发布通知,公开征求《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见。《信息安全技术 网络攻击和网络攻击事件判定准则》规定了列入网络关键设备的可编程逻辑控制器(PLC)在设备标识安全、冗余、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求以及安全保障要求,适用于网络关键设备可编程逻辑控制器(PLC)的研发、测试等工作。征求意见需在2023年11月20日24:00前反馈信安标委秘书处。
参考链接:
工控安全相关事件
01
APT28组织针对乌克兰关键能源基础设施进行网络攻击
9月4日,乌克兰计算机紧急响应小组(CERT-UA)发布公告称其发现了一起针对乌克兰关键能源基础设施的网络攻击。公告表示,此次网络入侵始于一封钓鱼电子邮件,其中包含指向激活感染链的恶意ZIP存档的链接。CERT-UA表示:“访问该链接会将包含三个JPG诱饵图像和BAT文件weblinks.cmd的ZIP存档下载到受害者的计算机上”,并将此次攻击归因于名为APT28(又名BlueDelta)的俄罗斯威胁行为者。该攻击会窃取目标主机信息,同时下载TOR隐藏服务来路由恶意流量。CERT-UA表示,关键能源基础设施的负责员工设法通过限制对Mockbin网络资源服务(mockbin.org、mocky.io)的访问并阻止在计算机上的启动Windows Script Host,成功阻止了该网络攻击。
参考链接:
02
今年以来,英国关键基础设施严重网络攻击事件暴增
9月11日,据Recorded Future New报道,根据《信息自由法》获得的数据,英国在2023年前六个月内,运营关键IT基础设施服务的组织向政府当局报告的严重扰乱运营的网络攻击事件达到了13起,这比以往任何一年都要多,2021年和2022年全年均只有4起记录。英国的《网络与信息系统法规》(Network & Information Systems Regulations),从发电厂到运输和医疗保健行业的企业以及IT基础设施公司等英国各地的基本服务提供商都必须依法向特定行业的主管部门报告破坏性网络事件,该法规还规定了计算机网络的最低安全标准。
参考链接:
https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis
03
美国-加拿大水务委员会遭到NoEscape勒索软件网络攻击
9月14日,据Recorded Future New报道,在NoEscape勒索软件黑客声称窃取了大量数据后,美加水务委员会遭遇了网络攻击。NoEscape勒索软件团伙于9月7日发表声明称攻击了该组织并窃取了80GB的合同、地质文件、利益冲突表格等数据。该团伙要求美加水务委员会在10天内回应他们的赎金要求,但并没有透露解锁这些文件需要的金额。国际法院发言人于9月13日证实其正在处理该网络安全问题,但拒绝详细说明是否已联系执法部门或该组织是否面临运营问题。美加水务委员会在过去的一百年里一直负责管理美国和加拿大边境沿线的湖泊和河流系统。
参考链接:
https://therecord.media/us-canada-water-commission-investigating-cyberattack?&web\_view=true
04
Omron公司修补被工控恶意软件利用过的PLC和工程软件漏洞
9月19日,Omron发布三条安全公告,宣布修补了工业网络安全公司Dragos在分析复杂恶意软件时发现的CS/CJ/CP系列PLC和Sysmac Studio自动化软件中的漏洞,分别追踪为CVE-2022-45790(CVSS v3:7.5分)、CVE-2022-45793(CVSS v3:5.5分)、CVE-2018-1002205(CVSS v3:5.5分)。攻击者可能会利用CVE-2022-45790解除受密码保护的内存区域的保护,并未经授权获取控制器产品中的信息;CVE-2022-45793允许较低权限的用户替换计算机上的可执行文件;CVE-2018-1002205允许攻击者在计算机上的任何位置创建文件。
参考链接:
https://www.fa.omron.co.jp/product/security/assets/pdf/en/OMSR-2023-010\_en.pdf
https://www.fa.omron.co.jp/product/security/assets/pdf/en/OMSR-2023-009\_en.pdf
https://www.fa.omron.co.jp/product/security/assets/pdf/en/OMSR-2023-008\_en.pdf
05
FBI和CISA公开关于勒索软件Snatch的IoC和TTP
9月20日,美国联邦调查局FBI和网络安全和基础设施安全局CISA联合发布了关于勒索软件Snatch的联合网络安全咨询,涉及IoC(indicators of compromise)和TTP(tactics, techniques, and procedures)等信息。Snatch于2018年首次出现,采用RaaS模式。Snatch威胁行为者主要针对关键基础设施领域,包括国防工业基地、粮食、农业以及信息技术行业。Snatch威胁行为者采用几种不同的方式访问受害者网络并保持其持久性,其主要利用远程桌面协议中的漏洞,强行获取受害者网络的管理员凭证。
参考链接:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a
06
研究人员披露针对俄罗斯国防工业的MataDoor后门攻击
9月27日,俄罗斯网络安全公司Positive Technologies发布安全分析报告,称其在2022年10月对一家俄罗斯工业企业的安全事件进行调查的期间,发现该企业被入侵的计算机上运行着以前从未见过的恶意软件样本。这些恶意软件可执行文件的名称与受感染计算机上安装的合法软件的名称相似,而且一些样本具有有效的数字签名。此外,已识别的可执行文件和库经过Themida保护程序的处理,使其更难被检测和分析。Positive Technologies对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门,并称之为MataDoor,其设计目的是为了长期在计算机中隐蔽运行。
参考链接:
蜜罐数据分析
“谛听”工控蜜罐在9月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2023年9月份和8月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,9月份ATG、DNP3、Modbus、IEC104、CODESYS和EGD协议蜜罐受到的攻击数量低于8月份受到的攻击数量,除此以外9月份各协议蜜罐受到的攻击数量都高于8月份受到的攻击数量。
图1. 9月份和8月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了9月份和8月份攻击量最多的10个国家对比情况。从图中可以看到,9月份俄罗斯、荷兰、加拿大、英国和法国对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 9月份和8月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 9月份来自北京的流量最多,来自浙江的流量位居第二,而来自四川的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 9月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
根据最新的俄乌战争消息,俄罗斯的外交部长拉夫罗夫于9月23日声明,对于乌克兰相关问题,俄罗斯已做好准备进入谈判阶段,然而,他们并未考虑任何关于停火的建议。同时,乌克兰总统办公室的顾问波多利亚克在社交媒体上公开表示,不能接受任何与俄罗斯的妥协。
为了深入了解俄罗斯和乌克兰在工控领域的当前情况,团队持续密切关注并进行深度互动探测,继续获取被扫描设备的详细信息。
/2023年9月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,9月探测到的数量与8月份相比,AMQP协议有小幅上升,其他各个协议几乎均没有太大变化。同时联网摄像头暴露数量相比8月有所减少,由1576降至1572。
图4. 8月、9月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与8月相比, 9月份各个协议都有一定程度的增加,S7协议设备略有减少。与8月不同,9月联网摄像头暴露数量有所降低,由2228降低至2125。后续团队将对相关信息持续关注。
图5. 8月、9月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
