Dragos：2020 年全球工控网络安全状况不容乐观

2020 年，在全球疫情的大背景下，维持工控网络的安全变得愈发困难。攻击者越来越多、隔离网络也不能保证安全，Dragos 利用其服务客户的相关数据撰写了《2020 年度 ICS 网络安全回顾》，以下介绍报告中的部分要点信息，可在文末点击阅读原文下载原始报告文件。

攻击组织

Dragos 在 2020 年之前跟踪的 11 个攻击小组仍然活跃，在 2020 年又发现了 4 个新的攻击小组。

STIBNITE

STIBNITE 针对阿塞拜疆的风力涡轮机公司发起攻击，目前来看该小组只针对阿塞拜疆发起了攻击。近期，阿塞拜疆和亚美尼亚遭遇了地缘冲突，但这种地缘冲突和 STIBNITE 的攻击只有部分关联。

STIBNITE 的受害者和乌克兰的风力发电公司都发现了类似的独特技术，一种可能是攻击瞄准的是风力发电机的供应商和维护者，而供应商和维护人员都在乌克兰。STIBNITE 在 2020 年末的多次攻击行动间共用了 C&C 服务器，同时也更新了恶意软件的功能，避免公开后被检测发现。

STIBNITE 伪造阿塞拜疆政府机构的钓鱼网站和新冠疫情相关的 Office 恶意文档入侵，接着使用 PoetRAT 来收集数据、屏幕截图、文件传输和远程控制，

TALONITE

TALONITE 专门攻击美国电气行业，该组织使用 LookBack 和 FlowCloud 进行信息收集操作。TALONITE 的网络钓鱼经常利用电力和电网行业的相关主题，攻击目标包括美国国家工程和测量审查委员会 （NCEES）、北美电气可靠性公司 （NERC）、美国土木工程师协会 （ASCE） 和全球能源认证 （GEC）。

TALONITE 经常滥用合法二进制文件，或修改此类二进制文件以扩展其功能。例如，LookBack 恶意软件包含持久化机制，在失陷主机下次登录时，该机制会添加两个 Windows 注册表来执行合法但经过修改的文件。而 FlowCloud 是微软发布的合法程序 hhw.exe 的重命名副本。

KAMACITE

2020 年，KAMACITE 利用被盗的凭据或者暴力破解攻击美国的能源公司。而KAMACITE 和沙虫存在非常强的关联，KAMACITE 长期针对关键信息基础设施发动攻击。Dragos 认为该小组主要是为其他小组提供访问入口，例如 KAMACITE 入侵后，ELECTRUM 部署了恶意软件进行攻击。

2020 年，KAMACITE 对很多美国能源公司进行了侦擦，试图利用活动目录和 Office 365 进行攻击。KAMACITE 与被攻击目标之间也存在 SMB 连接行为，存在攻击成功的可能。

VANADINITE

VANADINITE 针对北美、欧洲、澳洲和亚洲的能源、制造和运输行业的公司发起攻击，该小组的行动重点也是信息收集，主要包括窃取工控设计相关文档与知识产权，支撑后续开发定向的攻击。

VANADINITE 立足长远，而不急于一时的破坏。在 2020 年，VANADINITE 会利用针对 VPN 等远程访问服务和网络设备的 N+1 漏洞发起攻击。

ATT&CK

MITRE 在 2020 年为 ICS 领域专门引入了 ATT&CK 框架，以整理和表达针对 ICS 的攻击者针对工控目标使用的战术、技术。

攻击组织最常用的攻击技术如下所示：

漏洞

Dragos 的研究人员分析了 2020 年的 703 个 ICS/OT 漏洞，比 2019 年增加了 29%，表明支持工业运营的系统中缺陷有所增加。33% 的漏洞有 CVSS 评分，这会影响资产所有者和运营方做的修复策略。其中有 30 个漏洞存在公开的 POC，这也意味着有许多资源可以了解该漏洞。

Dragos 发现其绝大多数客户对其 ICS 环境不具备可见性。虽然大多数客户都表现出对资产的关注，但仅限于对资产的监控。许多客户只监控 IT 到 OT 边界，而没有监控 ICS 网络内的活动，且很多组织继续经常在 IT 和 OT 网络之间共享凭据。即使到了 2020 年，也没有在一个响应客户处发现任何集中式主机/网络流量记录。

与 ICS 相关的漏洞不仅缺乏可实操的信息，很多信息还都包含着错误，这些错误可能会误导相关的运营人员。

隔离网络

前一年，大家都希望借助隔离网络保卫自己的安全，然后大失所望。好消息是在 2020 年，ICS 环境与外部网络通过隔离网络（Air-Gapped System）的连接减少了三分之二。

在一次应急中，有两个外部连接绕过了客户的架构，连接直抵监控天然气质量的系统。通信在用于工业过程的关键控制器和仅用于与远程连接进行数据交换的 PLC 之间进行，攻击者可能已经利用此获得了初始访问权限。

可能是受到疫情远程办公的影响，在 2020 年应急的案例中每个攻击者都可以通过互联网访问 ICS 网络，形势比去年恶化了很多。

红队

在攻防测试中，每次红队都可以达到修改控制器逻辑的地步。

对红队攻击的检测有提升，但仍然有 15% 的不可见性缺口。而且没有任何一次是实时检测发现了攻击，而是在横向平移到其他关键系统时被发现。

建议

• 增强网络可见性

• 识别并优先保护关键资产

• 提升应急响应能力

• 确保细粒度的网络切分

• 建立凭据管理能力

原文始发于微信公众号（威胁棱镜）：Dragos：2020 年全球工控网络安全状况不容乐观