新的研究揭示了2018年上半年襲擊ICS系統(tǒng)面臨的最大威脅，以及今年剩余時(shí)間內(nèi)的最新威脅。工業(yè)控制系統(tǒng)（ICS）越來越成為目標(biāo)，因?yàn)楣粽呃没ヂ?lián)網(wǎng)來瞄準(zhǔn)組織工業(yè)網(wǎng)絡(luò)上的機(jī)器。

卡巴斯基實(shí)驗(yàn)室工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS CERT）今天公布了2018年上半年調(diào)查工業(yè)自動(dòng)化系統(tǒng)威脅狀況的研究結(jié)果。研究人員從ICS計(jì)算機(jī)中提取ICS CERT團(tuán)隊(duì)認(rèn)為部分組織的數(shù)據(jù)'工業(yè)基礎(chǔ)設(shè)施。

本研究中的所有計(jì)算機(jī)都運(yùn)行Windows并執(zhí)行以下一項(xiàng)或多項(xiàng)功能：數(shù)據(jù)網(wǎng)關(guān)，數(shù)據(jù)存儲(chǔ)服務(wù)器，SCADA服務(wù)器，工程師和操作員的固定工作站以及人機(jī)界面（HMI）。數(shù)據(jù)還來自工業(yè)控制網(wǎng)絡(luò)管理員的計(jì)算機(jī)和為工業(yè)自動(dòng)化系統(tǒng)構(gòu)建軟件的開發(fā)人員。

數(shù)據(jù)顯示，遭受網(wǎng)絡(luò)攻擊的ICS機(jī)器的百分比正在穩(wěn)步上升，從2017年上半年的36.6％上升到2017年下半年的37.7％，到2018年上半年的41.2％。

“在2018年上半年，我們看到更多的證據(jù)表明合法的遠(yuǎn)程訪問工具[RATs]用于滲透或參與攻擊ICS，”卡巴斯基實(shí)驗(yàn)室安全研究員Kirill Kruglov說。威脅行為者繼續(xù)使用魚叉式網(wǎng)絡(luò)釣魚攻擊與合法軟件（如RAT）一起攻擊和加強(qiáng)對(duì)ICS機(jī)器的攻擊。

他指出，數(shù)據(jù)顯示攻擊者正在變得越來越先進(jìn)。研究人員看到威脅行為者使用更多針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚電子郵件和惡意軟件進(jìn)行ICS例行自動(dòng)化。

克魯格洛夫繼續(xù)說，這次襲擊背后的主要?jiǎng)訖C(jī)是工業(yè)和政府間諜活動(dòng)。Cryptomining和勒索軟件根植于經(jīng)濟(jì)利益。雖然他說一些攻擊是出于破壞的動(dòng)機(jī)，但很少有。Kruglov說，研究人員已經(jīng)看到由于惡意軟件URL，受感染的網(wǎng)站，水坑計(jì)劃等導(dǎo)致的互聯(lián)網(wǎng)源攻擊的增加。但是，基于電子郵件的攻擊在破壞ICS機(jī)器周邊方面取得了更大的成功。

2018年上半年企業(yè)工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施機(jī)器的主要攻擊媒介是互聯(lián)網(wǎng)（27.3％），可移動(dòng)媒體（8.4％）和電子郵件客戶端（3.8％）。一年前，互聯(lián)網(wǎng)是20.6％的ICS計(jì)算機(jī)受到威脅的源頭。研究人員在一篇關(guān)于他們研究結(jié)果的文章中解釋說：“與控制網(wǎng)絡(luò)被隔離的傳統(tǒng)觀點(diǎn)相反，在過去幾年中，互聯(lián)網(wǎng)成為組織工業(yè)網(wǎng)絡(luò)上公司的主要感染源 ?！?/p>

卡巴斯基實(shí)驗(yàn)室數(shù)據(jù)中約有42％的機(jī)器在2018年上半年有定期或全時(shí)的互聯(lián)網(wǎng)連接。其余的每月連接不超過一次，而且頻率較低。由于受限于工業(yè)網(wǎng)絡(luò)的限制，ICS服務(wù)器和工程師/操作員工作站通常沒有全時(shí)直接在線訪問。在維護(hù)期間可以進(jìn)行訪問。

研究人員概述了2018年觸及ICS機(jī)器的一些主要攻擊事件，這些事件始于Spectre和Meltdown漏洞的消息。包括SCADA服務(wù)器，工業(yè)計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備在內(nèi)的工業(yè)設(shè)備容易受到這兩種攻擊。報(bào)告受影響產(chǎn)品的公司包括思科，西門子，施耐德電氣，ABB和橫河電機(jī)。

Cryptominers是今年ICS的主要攻擊趨勢(shì)：卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)顯示，自4月以來，使用密碼管理器攻擊的ICS機(jī)器的百分比飆升，并在2018年上半年達(dá)到6％，在六個(gè)月內(nèi)上升了4.2個(gè)百分點(diǎn)。挖掘惡意軟件的主要問題是工業(yè)信息系統(tǒng)的負(fù)擔(dān)，這可能會(huì)導(dǎo)致缺乏穩(wěn)定性和控制。

攻擊仍在繼續(xù)：4月份，全球的Cisco IOS交換機(jī)受到了思科智能安裝客戶端軟件中利用CVE-2018-0171的網(wǎng)絡(luò)攻擊。據(jù)思科Talos 報(bào)道，有超過168,000臺(tái)設(shè)備暴露在外。5月，新的VPNFilter惡意軟件被發(fā)現(xiàn)感染了54個(gè)國家的至少500,000臺(tái)路由器和網(wǎng)絡(luò)連接存儲(chǔ)設(shè)備。惡意軟件可以竊取憑據(jù)，檢測(cè)SCADA設(shè)備并啟動(dòng)僵尸網(wǎng)絡(luò)。

雖然全球勒索軟件數(shù)量下降，但它們?cè)贗CS機(jī)器中上升，從1.2％增加到1.6％。研究人員報(bào)告說，在WannaCry和NotPetya活動(dòng)之后，工業(yè)組織的風(fēng)險(xiǎn)“似乎很難被低估”。