在2022年，針對工業(yè)基礎設施的網絡攻擊越來越復雜，數(shù)量也越來越多。研究發(fā)現(xiàn)，采用一個模塊化惡意軟件工具包，就能夠針對不同行業(yè)垂直領域的數(shù)萬個工業(yè)控制系統(tǒng)(ICS)進行攻擊。與此同時，Dragos公司發(fā)布的事件響應報告表明，80%受影響的環(huán)境缺乏對工業(yè)控制系統(tǒng)(ICS)流量的可見性，一半的環(huán)境存在網絡分段問題，其OT網絡的外部連接不受控制。

　　Dragos公司的研究人員在一份最新發(fā)布的年度報告中說:“Dragos公司追蹤的許多威脅在未來可能會演變出顛覆性和破壞性的能力，因為網絡威脅行為者通常會進行廣泛的研究和開發(fā)，并隨著時間的推移實施他們的程序和活動，這項研發(fā)為他們未來的活動提供了信息，并最終提高了他們的破壞能力。”

　　跟蹤活躍的ICS威脅團伙

　　自從2020年以來，Dragos公司一直在跟蹤20個針對工業(yè)基礎設施攻擊的威脅組織和團伙。在這些團伙中，有8個在去年比較活躍，其中包括被Dragos公司命名為Chernovite和Bentonite的新團伙。

　　在這兩個團伙中，Chernovite表現(xiàn)比較突出，展示了ICS網絡殺傷鏈第一階段和第二階段的各個方面：第一階段是初始入侵和偵察活動，允許網絡攻擊者收集有關運營技術(OT)環(huán)境的信息，幫助他們開發(fā)針對特定ICS實施的能力。第二階段是將第一階段收集的信息實現(xiàn)武器化，并發(fā)展實際影響ICS的能力。

　　Chernovite是一個高度復雜的惡意軟件平臺的幕后黑手，該平臺能夠攻擊Dragos稱之為Piperdream的工業(yè)控制系統(tǒng)，網絡安全服務商Mandiant公司將其稱為Incontroller。該惡意軟件在2022年初被發(fā)現(xiàn)，據悉是由政府支持開發(fā)的。Dragos公司沒有進行攻擊歸因評估，Mandiant公司指出，這符合某國對攻擊ICS的興趣，但其證據是間接的。

　　Dragos公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人RobertM.Lee在新聞發(fā)布會上表示，Piperdream或Incontroller在被“使用”之前就被發(fā)現(xiàn)了，這意味著雖然攻擊者沒有發(fā)動攻擊，但已經非常接近。在他看來，惡意軟件沒有得到應有的關注，可能是因為在造成損害之前就被發(fā)現(xiàn)了，但它具有非常有效的破壞性和破壞能力，可能是有史以來最接近讓美國和歐洲基礎設施中斷運營的攻擊。

　　他說,“我不想炒作任何事情，因為并沒有基礎設施遭到更大的攻擊，所以有些事情沒有發(fā)生，但我認為人們不明白它離發(fā)生有多近。”

　　據悉，Chernovite團伙的目標是十幾個關鍵的電力和液體天然氣站，但惡意軟件的攻擊絕不局限于這些行業(yè)。事實上，Pipedream是有史以來第一個利用一些最廣泛的ICS協(xié)議中的原生功能的ICS惡意軟件，包括施耐德電氣、歐姆龍、CODESYSPLC以及支持OPC統(tǒng)一架構(OPCUA)標準的任何PLC所使用的協(xié)議。

　　換句話說，任何基礎設施運營商可以通過這些協(xié)議做的事情，惡意軟件都可以做。Lee表示，在某種程度上，它比任何特定供應商的工程工作站軟件更令人印象深刻，因為該軟件只能與特定供應商的PLC一起工作，但Pipedream可以與所有這些軟件一起工作。

　　Lee說，“這令人印象深刻，所以，它最初的設計目標是15種特定類型的設備，但目前它可以在社區(qū)中部署的數(shù)千個不同的控制器和設備、數(shù)百個不同的供應商以及幾乎所有行業(yè)中運行。”

　　最糟糕的是，這些漏洞沒有可以修補的補丁，因為它幾乎都是原生功能。Dragos表示將會看到這種惡意軟件再次部署，并且沒有簡單的解決辦法，那些只關注預防而不做檢測和應對的企業(yè)，幾乎無法對抗這種攻擊。

　　Lee說，“全球大約5%的基礎設施正在受到監(jiān)控。我們所有的努力都是為了防止網絡攻擊，我想說的是，雖然受到監(jiān)控的基礎設施比例較小，我們仍然發(fā)現(xiàn)了一些相當可怕的事情。”

　　Bentonite團伙在2022年被發(fā)現(xiàn)，目前該團伙只顯示了第一階段的能力，其主要目標是制造業(yè)和石油天然氣行業(yè)，但它選擇的受害者似乎是隨機的，利用他們發(fā)現(xiàn)的任何對外暴露的遠程訪問連接或利用互聯(lián)網資產。該團伙植入的惡意軟件并不引人注目。然而Dragos公司警告說，該團伙很狡猾，其收集的信息將允許它在未來進入OT網絡，例如工業(yè)設備圖或物理過程的數(shù)據。

　　另一個在2022年仍然活躍的網絡威脅團伙是Kostovite，這是一個最初在2021年發(fā)現(xiàn)的群體，已經證明了進行橫向移動并到達OT和ICS網絡的能力。它通常利用企業(yè)外圍環(huán)境，并可以使用零日漏洞。有證據表明，它的目標可能與APT5有一些重疊。

　　Kamacite和Electrum是兩個繼續(xù)實施攻擊活動的ICS威脅團伙，并與Sandworm有關，Sandworm被認為是某國軍事情報機構(GRU)的一個單位。Sandword使用NotPetya惡意軟件進行了破壞性攻擊，使用BlackEngery和Industrierr惡意軟件程序對烏克蘭電網進行了多次攻擊。Kamacite通過一個名為“CyclopsBlinka”的植入物獲得對網絡的初始訪問權，然后將該訪問權傳遞給Electrum，后者通常負責造成破壞性影響。Kamacite攻擊的目標包括歐洲、烏克蘭和美國的基礎設施。

　　Xenomite是另一個仍然活躍的ICS威脅團伙，主要專注于針對中東和美國的電力、石油和天然氣公司進行破壞，其目標似乎經過精心挑選，并且它們之間存在聯(lián)系。這表明，該集團從非公開來源對石油和天然氣行業(yè)有細致入微的了解，從而能夠確定壓力點。

　　Xenomite是開發(fā)Triton軟件的團伙，Triton是一個惡意軟件框架，2017年使沙特阿拉伯的一家公司正在使用的Trisis儀器安全系統(tǒng)(SIS)失效。這使得Xenomite成為有動機和能力摧毀關鍵基礎設施的團體之一。

　　Erythrite是ICS網絡殺傷鏈第一階段的威脅團伙，該團伙使用不太復雜的技術，例如搜索引擎優(yōu)化(SEO)中毒和自定義惡意軟件。該團伙的重點是數(shù)據和證書盜竊，但其大規(guī)模活動，尤其是針對制造業(yè)的活動令人擔憂。它的目標包括約20%的財富500強公司，大部分位于美國和加拿大。Dragos說，對于IT和OT之間網絡分段較差的企業(yè)來說，該團伙是一個特別大的威脅。

　　最后，Wassonite是一個處在第一階段的團伙，專注于攻擊來自南亞和東亞的核能、電力、石油和天然氣、先進制造業(yè)、制藥和航空航天行業(yè)。該團伙使用DTrack和AppleSeed遠程訪問木馬，這些木馬通過為特定行業(yè)和組織定制的魚叉式網絡釣魚誘餌分發(fā)。

　　除了這些企業(yè)的有針對性的威脅之外，Dragos還指出，去年針對工業(yè)組織的勒索軟件攻擊增加了87%，其中制造業(yè)是受影響最大的行業(yè)。LockBit的攻擊次數(shù)最多，其次是現(xiàn)在已經解散的Contiransomware、BlackBasta和Hive。

　　ICS漏洞和盲點

　　與2021年相比，專門針對ICS相關硬件和軟件的漏洞數(shù)量增加了27%，但這并不能反映全局，因為并非所有漏洞數(shù)量增長都是相同的，尤其是在ICS領域。

　　因此，Dragos公司對這些漏洞進行了更深入的風險評估，發(fā)現(xiàn)15%的漏洞位于企業(yè)網絡的設備中，85%位于ICS網絡深處。此外，一半漏洞沒有導致能見度或控制力的喪失。更大的問題是，在打補丁經常涉及關閉運營和關鍵設備的行業(yè)，資產所有者嚴重依賴于緩解措施，而在提供補丁的70%的供應商中，51%的供應商表示沒有包含任何緩解措施。另有30%表示沒有補丁，16%表示沒有實際的緩解措施。

　　在34%的供應商中，Dragos公司發(fā)現(xiàn)了錯誤的數(shù)據，例如錯誤的軟件編號、錯誤的硬件型號、錯誤的版本等等。該公司評估，在70%的情況下，嚴重程度評分應該高于供應商指定的評分，30%的情況下低于供應商指定的評分。

　　好消息是，根據Dragos公司的風險評估，將漏洞分為立即修補、下一個周期修補和不應該關注三種，只有2%屬于立即修補類別。另外95%的漏洞可以推遲到下一個周期修補，并通過網絡分段、監(jiān)控和多因素身份驗證來緩解。3%的漏洞的作用或者被夸大，或者完全錯誤，屬于最后一類。

　　根據該公司進行的安全評估，最常見的問題是ICS環(huán)境中缺乏可見性，80%的客戶的OT可見性有限。然而，2022年比前一年下降了6%，因此有所改善。一半的客戶存在網絡分段問題，下降了27%。53%的客戶有未公開或不受控制的OT網絡連接，與2021年相比下降了17%。整個行業(yè)的情況仍然不太好，而且有一個領域似乎正在變得更糟，那就是IT和OT之間缺乏用戶管理分離，54%的企業(yè)存在這種情況，與2021年相比增加了10%。

　　Lee說:“這是我們在大量勒索軟件案例中看到的事情之一，勒索軟件參與者的目標是IT網絡，通過ActiveDirectory域控制器傳播勒索軟件，然后進入運營網絡，即使它不是他們通過共享憑證的目標。”

　　最令人擔憂的發(fā)現(xiàn)之一是，80%的被評估客戶仍然沒有對其ICS系統(tǒng)的可見性，80%的企業(yè)相對成熟，并接受Dragos等網絡安全服務商的服務。事實上，這個數(shù)字可能更高。

　　Lee說，“如果企業(yè)不知道自己有什么，就不知道自己有多少資產，它們是如何連接的，誰在連接它們，以及任何類型的檢測。企業(yè)永遠不會得到根本原因分析，或了解哪里出了問題，或能夠發(fā)現(xiàn)對手。平均而言，80%以上的企業(yè)根本無法做到這一點，當談論關鍵基礎設施和管道時，這顯然是一個令人擔憂的問題。”