谛听 工控安全月报 | 8月
目录
01
工控安全相关政策
-
国际标准《网络安全 工业互联网平台安全参考模型》、《网络安全 设备与服务建立可信连接的安全建议》正式发布
-
4项网络安全相关国家标准获批发布
-
美国纽约州发布首个全州范围的网络安全战略
-
全国信息安全标准化技术委员会公开征求《信息安全技术 网络攻击和网络攻击事件判定准则》(征求意见稿)等3项国家标准意见
02
工控安全相关事件
-
印度国防部将从Windows转向本土玛雅操作系统
-
新的SystemBC恶意软件变体瞄准南部非洲电力公司
-
美国芝加哥贝尔特铁路公司遭遇勒索软件攻击
-
Rockwell ThinManager漏洞可导致工业设备的人机界面遭受攻击
-
思科NX-OS软件存在远程身份验证漏洞
-
Akira勒索软件利用思科VPN进行网络攻击
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
国际标准《网络安全 工业互联网平台安全参考模型》、《网络安全 设备与服务建立可信连接的安全建议》正式发布
8月3日,全国信息安全标准化技术委员会发布公告,由我国牵头提出的国际标准ISO/IEC 24392:2023《网络安全 工业互联网平台安全参考模型》和ISO/IEC 27071:2023《网络安全 设备与服务建立可信连接的安全建议》正式发布。两项国际标准的提案分别于2018年4月和2015年提交至ISO/IEC JTC1/SC27,后经研究,分别于2019年6月和4月正式立项并同时于2023年7月正式发布。我国分别有3名和2名专家担任这两项国际标准提案的编辑和联合编辑。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20230803173711
https://www.tc260.org.cn/front/postDetail.html?id=20230803173415
02
4项网络安全相关国家标准获批发布
8月6日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2023年第7号),批准了431项推荐性国家标准和2项国家标准修改单,其中包括全国信息安全标准化技术委员会归口的4项网络安全相关的国家标准,分别是《信息安全技术 大数据服务安全能力要求》(GB/T 35274-2023)、《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》(GB/T 42884-2023)、《信息安全技术 机器学习算法安全评估规范》(GB/T 42888-2023)、《信息安全技术 网络安全信息共享指南》(GB/Z 42885-2023)。
参考链接:
https://std.sacinfo.org.cn/gnoc/queryInfo?id=CD3E02C22A1721C5BF7E8DF7A2EF4996
03
美国纽约州发布首个全州范围的网络安全战略
8月9日,纽约州州长Kathy Hochul在纽约布鲁克林推出了该州首个全州范围的网络安全战略,该战略将作为各个公共和私人利益相关者如何协同工作以保护关键基础设施和全州居民个人数据免受恶意攻击和数据泄露的蓝图。该战略首次阐明了纽约各地网络安全和复原力的一系列高层目标。它澄清了机构的角色和职责,概述了现有和计划中的举措和投资应如何结合并统一的方法,并重申纽约州向县和地方政府提供服务、建议和援助的承诺。纽约州的网络安全战略为公共和私人利益相关者提供了缓解网络风险的路线图,并概述了保护关键基础设施、网络、数据和技术系统的计划。该网络安全战略基于五个战略支柱:安全、弹性地运营纽约州网络;与主要利益相关者合作;监管关键行业;传达网络安全建议和指导;发展纽约的网络安全劳动力和经济。
参考链接:
https://www.governor.ny.gov/news/governor-hochul-announces-nation-leading-cybersecurity-strategy
04
全国信息安全标准化技术委员会公开征求《信息安全技术 网络攻击和网络攻击事件判定准则》(征求意见稿)等3项国家标准意见
8月25日,信安标委发布通知,公开征求《信息安全技术 网络攻击和网络攻击事件判定准则》(征求意见稿)等3项国家标准的意见。《信息安全技术 网络攻击和网络攻击事件判定准则》代替《信息安全技术 网络攻击定义及描述规范》(GB/T 37027-2018),给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准,适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。征求意见需在2023年10月24日24:00前反馈信安标委秘书处。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20230830130651
工控安全相关事件
01
印度国防部将从Windows转向本土玛雅操作系统
8月8日,据《印度教徒报》报道,在全国范围内针对国防和关键基础设施的网络和恶意软件攻击不断增加的情况下,印度政府正在逐步放弃微软Windows操作系统,转而采用更安全的替代品Maya,该操作系统基于开源的Ubuntu操作系统,由政府机构在六个月内开发完成。目前,Maya仅安装在国防部系统中,尚未安装在连接到三大军种网络的计算机上,但是三大军种也已对Maya操作系统进行了审查,并将很快在服务网络中采用。根据报道,此次操作系统的过渡还包括部署“Chakravyuh”端点检测软件和防病毒系统。
参考链接:
02
新的SystemBC恶意软件变体瞄准南部非洲电力公司
8月10日,卡巴斯基全球研究与分析团队GReAT首席安全研究员Kurt Baumgartner发布报告表示:一名身份不明的攻击者使用Cobalt Strike Beacons和DroxiDat(SystemBC有效负载的新变体)瞄准了非洲南部的一家电力公司。GReAT推测此次攻击事件发生在2023年3月的第三周和第四周,是全球范围内涉及DroxiDat和Cobalt Strike Beacons的网络攻击的一部分,目前处于勒索软件攻击的初始阶段。与SystemBC相比,攻击中使用的恶意软件DroxiDat既紧凑又精简,剥离了与SystemBC相关的大部分功能,能够充当简单的系统分析器并将信息泄露到远程服务器。目前尚不清楚这波攻击背后的威胁行为者的身份,但现有证据表明俄罗斯勒索软件组织可能参与其中,特别是FIN12(又名Pistachio Tempest),该组织也曾使用Cobalt Strike Beacons部署SystemBC勒索软件。
参考链接:
https://securelist.com/focus-on-droxidat-systembc/110302/
03
美国芝加哥贝尔特铁路公司遭遇勒索软件攻击
8月12日,据Recorded Future New报道,美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公司的转运和换乘设施。当地时间8月10日晚,Akira勒索软件团伙将该公司添加到其泄露网站,声称窃取了85GB的数据。贝尔特铁路总法律顾问Christopher Steinway称,该公司最近意识到“一个威胁组织在其网站上发布消息称其已获得某些公司信息”,但“该事件没有影响我们的运营,我们已聘请一家领先的网络安全公司来调查这一事件,并正在与联邦执法部门合作”,目前贝尔特铁路公司仍然在调查此事件。
参考链接:
https://therecord.media/belt-railway-chicago-ransomware-data-theft-akira
04
Rockwell ThinManager漏洞可导致工业设备的人机界面遭受攻击
8月17日,网络安全公司Tenable的研究人员在ThinManager及ThinServer(Rockwell公司的一款轻量客户端和RDP服务器管理软件)中发现了一个严重漏洞(CVE-2023-2914,CVSS v3:7.5分)和两个高严重性漏洞(CVE-2023-2915,CVSS v3:9.1分;CVE-2023-2917,CVSS v3:9.8分),利用这些漏洞可能会导致拒绝服务、使用系统权限删除任意文件以及将任意文件上传到安装ThinServer.exe的驱动器上的任何文件夹。远程攻击者可以通过发送特制的同步协议消息来利用这些缺陷,而无需事先进行身份验证,利用该漏洞的唯一要求是访问托管易受攻击的服务器的网络,如果服务器连接并暴露在互联网上,也可以直接从互联网进行攻击。当天Rockwell公司在其网站向客户通报了补丁的可用性情况(针对注册用户)。
参考链接:
https://www.tenable.com/security/research/tra-2023-28
05
思科NX-OS软件存在远程身份验证漏洞
8月23日,思科发布安全公告称Cisco NX-OS软件的TACACS+和RADIUS远程身份验证中存在漏洞(CVE-2023-20168,CVSS v3:7.1分),可能会导致受影响的设备意外重新加载。如果用户启用了TACACS+或RADIUS的定向请求选项,则此漏洞是由于处理身份验证时的输入验证不正确造成的。攻击者可以通过在受影响设备的登录提示符下输入伪造字符来利用此漏洞。成功利用此漏洞会导致受影响设备意外重新加载,从而造成拒绝服务情况。目前思科已发布软件更新来解决此漏洞。
参考链接:
06
Akira勒索软件利用思科VPN进行网络攻击
8月24日,思科发布安全公告称Akira勒索软件的威胁攻击者一直以未配置多因素身份验证(MFA)的思科VPN为目标,对企业网络进行渗透。尽管报告没有包含太多技术细节,但思科产品安全事件响应团队首席工程师Omar Santos在报告中表示,攻击者被认为是通过暴力破解或在暗网上购买被盗凭证来获得VPN访问权限。此外,在报告的攻击事件中,未配置日志记录,导致很难准确确定Akira勒索软件攻击者是如何访问VPN的。报告中还提到了思科一直在Rapid7公司的协助下积极调查,该公司于8月29日发布了研究报告,提供了有关攻击的更多技术见解。Rapid7在研究中表示,至少从3月份起,它就开始追踪针对思科自适应安全设备(ASA)SSL VPN设备的勒索软件攻击。
参考链接:
https://blogs.cisco.com/security/akira-ransomware-targeting-vpns-without-multi-factor-authentication
蜜罐数据分析
“谛听”工控蜜罐在8月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2023年8月份和7月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,8月份ATG和Modbus协议蜜罐受到的攻击数量高于7月份受到的攻击数量,除此以外8月份各协议蜜罐受到的攻击数量都低于7月份受到的攻击数量。
图1. 8月份和7月份蜜罐各协议攻击量
对比(数据来源“谛听”)
图2展示了8月份和7月份攻击量最多的10个国家对比情况。从图中可以看到,8月份美国加拿大对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 8月份和7月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 8月份来自浙江的流量最多,来自北京的流量位居第二,而来自江苏的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动,与7月份相比,8月份前十省份的流量较为平均。
图3. 8月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
据俄乌战争最新报道,乌克兰无人机袭击导致俄罗斯边境地区三人死亡,俄国防部和莫斯科市长宣称击落了乌克兰无人机,另外,在乌克兰东北部罗姆内市的学校发生袭击事件,至少两人死亡、三人受伤。俄罗斯总统普京在金砖国家峰会上表示希望结束乌克兰战争。
为了进一步了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了高交互探测,以获取被扫描设备的详细信息。
/2023年8月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,8月探测到的数量与7月份相比,AMQP协议略有下降,其他各个协议几乎均保持不变。同时联网摄像头暴露数量相比7月有所减少,由1610降至1576。
图4. 7月、8月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,相较于7月,8月份除AMQP协议有所减少外,其他协议都基本保持不变或略有增加。与7月不同,8月联网摄像头暴露数量有所增加,由2071升至2228。后续团队将对相关信息持续关注。
图5. 7月、8月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
