目录
工控安全相关政策
-
美国众议院通过《关键基础设施网络事件报告》法案
工控安全事件
-
东欧大型加油站遭勒索攻击,官网、APP等全部下线
-
美国基础设施与网络安全局举行第八次“网络风暴”演习
-
欧姆龙修复PLC编程软件中的高危漏洞
-
Anonymous攻击俄罗斯石油管道公司Transneft泄露79GB数据
-
美国警告称Avoslocker勒索软件攻击美国关键基础设施部门
-
乌克兰电信运营商遭遇最严重网络中断攻击
蜜罐数据分析
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
1
美国众议院通过《关键基础设施网络事件报告》法案
3月11日,美国众议院通过《关键基础设施网络事件报告》法案,该法案要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内向网络安全和基础设施安全局(CISA)报告。这项法律将使联邦机构更深入地了解攻击趋势,并可能有助于在重大漏洞或攻击蔓延之前提供早期预警。在俄乌混合战争引爆全球“关基”网络安全危机的时刻,美国通过《关键基础设施网络事件报告法案》这一举措,为应对网络安全态势现代化的需求提前做好了准备。
工控安全事件
1
东欧大型加油站遭勒索攻击,官网、APP等全部下线
3月6日,东欧国家罗马尼亚Rompetrol加油站遭到勒索软件攻击,官方网站及油站Fill&Go服务被迫下线。影响到了公司“大部分IT服务”,官网、APP全部下线,顾客只能使用现金和刷卡支付。Rompetrol是罗马尼亚国内最大炼油厂Petromidia Navodari的配套油站运营商,该炼油厂的年油品加工能力超过500万吨。据悉,攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受到影响。
2
美国基础设施与网络安全局举行第八次“网络风暴”演习
3月14日,美国基础设施与网络安全局(CISA)发布公告,称已于上周举办了为期三天的“网络风暴VIII”网络演习,共有来自约200家政府机构、私营部门和外国组织的近2000人参与了此次演习。“网络风暴VIII”演习的场景既涉及运营(如工业控制系统),也涉及传统企业系统,并为参演组织设置了勒索软件和数据泄露等威胁。此次演习的具体目标如下:检验国家网络安全计划和政策的有效性;厘清在产生或可能产生物理性影响的网络事件中,各方所应承担的职责;加强网络事件期间的信息共享和协调机制;促进公共机构和私营机构之间的合作关系,提高这些机构及时分享相关信息的能力。
http://www.ccw.com.cn/security/2022-03-16/23856.html
3
欧姆龙修复PLC编程软件中的高危漏洞
3月15日消息,日本电子巨头欧姆龙的CX-Programmer软件最近修补了几个可用于远程执行代码的高严重性漏洞。日本JPCERT/CC于本月发布的一份公告显示,该产品受到5个释放后使用和越界漏洞的影响,CVSS得分均为7.8。CX-Programmer是Omron CX-One自动化软件套件的一部分,专为编程和调试Omron可编程逻辑控制器 (PLC) 而设计。据美国网络安全和基础设施安全局 (CISA) 称,该产品在全球范围内使用,包括关键制造业。
https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
4
Anonymous攻击俄罗斯石油管道公司Transneft泄露79GB数据
3月17日,黑客组织Anonymous声称,其攻击了俄罗斯石油管道公司Transneft的内部研发部门Omega公司,并窃取了79GB的电子邮件数据,将其发布在泄密托管网站Distributed Denial of Secrets上。泄露的电子邮件包含公司员工多个电子邮件的账户信息、发票信息、设备配置、以及产品出货信息。
https://www.theverge.com/
5
美国警告称Avoslocker勒索软件攻击美国关键基础设施部门
3月17日,美国联邦调查局与美国财政部和金融犯罪执法网络发布联合公告称,AvosLocker勒索软件正在被用于针对美国多个关键基础设施的攻击,包括但不限于金融服务、关键制造和政府设施部门。该公告为网络防御者提供了可用于检测和阻止AvosLocker勒索软件的入侵指标,同时还提供了该组织的技术细节。
https://securityaffairs.co/wordpress/129232/cyber-crime/avoslocker-ransomware-us-critical-infrastructure.html?web_view=true
6
乌克兰电信运营商遭遇最严重网络中断攻击
3月28日,乌克兰重要电信运营商Ukrtelecom遭遇“强大的”网络攻击,导致全国服务中断。专注监测互联网状态的NetBlocks公司称,Ukrtelecom可正常运行的服务“已跌至战前水平的13%,这是自俄乌冲突以来出现的最严重的网络攻击。NetBlocks监测发现,在服务中断约15小时后,Ukrtelecom开始恢复网络服务,该公司已经成功缓解了这次网络攻击。
蜜罐数据分析
“谛听”工控蜜罐在3月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要解释说明。
图1展示了2022年3月份和2月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,与2月份相比,3月份的Modbus协议下蜜罐所受攻击量上升到了第一位,Siemens S7和Tridium Fox协议下蜜罐受到的攻击量排名也明显上升。此外,除IEC104协议蜜罐外,3月份各协议蜜罐受到的攻击数量都超过了2月份的攻击数量,可显示3月份工控网络安全活动比较活跃。
图1. 3月份和2月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了3月份和2月份攻击量最多的10个国家对比情况。从图中可以看到,3月份来自美国的攻击量仍遥遥领先。与2月份相比,除德国外,各国对蜜罐的攻击量都有所上升。此外,可能受近期的俄乌冲突影响,3月份来自俄罗斯和乌克兰的攻击数量较2月份大幅提升。
图2. 3月份和2月份其他各国对蜜罐的攻击量对比TOP10(数据来源“谛听”)
由图3可以看出,3月份来自中国北京、山西省的流量较多,占比也较2月份有所提升。此外,一些制造业较为发达的地区,对于工控安全问题也较为关注。
图3. 3月中国国内各省份流量(top10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
随着俄乌冲突的持续升级,战况也愈演愈烈,这场战争不仅是在军事战场上,在网络空间当中也有所体现,网络空间的数据摧毁,网络瘫痪等技术对乌克兰的关键基础设施带来了一定的影响。为了关注工控设备的情况,团队对俄罗斯、乌克兰两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。
2022年3月俄罗斯、乌克兰暴露工控设备相关协议
从图4乌克兰各协议暴露数量对比图中可以看出,3月探测到的数量与2月份发生冲突前的数量有显著差别,而且相比于冲突后也有持续走低的趋势。同时联网摄像头暴露数量也在持续下降,由2465降至2266。
图4. 2月、3月乌克兰各协议暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,个别协议的数量下降较为明显。同时联网摄像头暴露数量也有一定程度的降低。后续团队将对相关信息持续关注。
图5. 2月、3月俄罗斯各协议暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听ditecting
原文始发于微信公众号(谛听ditecting):谛听 工控安全月报 | 3月
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论