“关基安全”-超过900个俄工控系统被攻击

概述

3月3日,据绿盟威胁情报中心监测,知名黑客组织“匿名者”对俄罗斯900多个核心工业控制系统展开网络攻击,给俄罗斯关键行业的生产和运营造成了持续性的危害。

攻击背景

随着俄乌冲突进一步升级,许多黑客组织也开始加入到俄乌双方的网络攻击活动中。2月25日,国际黑客组织“匿名者”(Anonymous)官宣正式对俄罗斯政府发动网络战争,并声称这只是一个开始。截至2月28日,匿名者先后对俄罗斯关键基础设施进行网络攻击,攻击目标包括交通、能源、政府、军队、银行等。例如工业气体控制系统、俄罗斯联邦储蓄银行、私人银行、国家电视台、军事通讯、政府网站、国防部网站等。

最新事件

3月3日,匿名者组织在官方Twitter上发布了新一批攻击目标,涉及超过900个俄罗斯暴露在公网的工业控制系统。这批目标资产被发布在可公开下载的网站pastebin上,方便其他组织获取和协同攻击。
本次发布的俄工控资产,主要涉及PLC(可编程逻辑控制器)、RTU(远程终端控制单元)、DCS(分布式控制系统)和SCADA(数据采集与监控系统)等各类常见工业控制系统,数据包括资产IP地址、端口和协议等。匿名者组织此次发布的俄罗斯暴露在互联网上的工控资产主要包括Rockwell、SIEMENS和Schneider等厂商的设备,协议主要包括Modbus、BACnet等。

事件分析

工业控制系统作为重要的资产类型,网络战时通常会成为攻击的重要目标。例如本次俄乌冲突中,“匿名者”已经对俄工业气体控制系统发起过攻击。在针对工控资产攻击过程中,暴露在互联网的资产往往“首当其冲”成为攻击者优先攻击的对象。结合本次攻击事件,各国家对互联网暴露的工控资产应进行提前梳理和处置,避免直接暴露在互联网上,被攻击者利用。据绿盟科技网络空间测绘系统的监测,全球上很多国家都存在工控资产暴露在互联网上的问题,将导致国家网络安全面临严峻的挑战。

安全启示

工业领域的数据价值高、社会影响较大,使得近年来针对工控系统的网络攻击事件频发。尤其在现在社会的网络战中,工控系统是攻击者关注的重点,同时暴露在互联网上的工控资产无疑成为攻击者的入口,使得攻击者探测并锁定攻击目标变得更加容易,加剧了工控系统的安全风险。建议各国家重要企业采用网络空间测绘技术梳理暴露在互联网上的工控资产,尤其是关键基础设施或关键业务系统资产,尽量避免暴露在互联网,降低遭受攻击的风险。同时,各国监管部门应对其管辖范围内资产进行周期性梳理、风险评估和引导处置,避免重要工控资产直接暴露于公网。绿盟网络空间测绘系统采用先进的网络空间测绘技术,可以对全球网络空间(IPv4/IPv6)的各类资产进行精确识别,帮助资产所有者进行资产梳理和防御。
附录A  绿盟网络空间测绘系统
绿盟网络空间测绘系统作为绿盟威胁情报云的关键系统,是绿盟全面情报生态体系中的“千里眼”,负责对全球所有在线资产进行存活探测、服务识别、资产画像、风险研判等资产测绘工作。通过业内领先并全球分布部署的高性能探针,绿盟网络空间测绘可以快速、准确地实现对全部IPv4/IPv6网络空间和全球网站进行深度测绘,实时洞悉全球资产的分布动态、存活情况、风险信息等,帮助用户快速发现和处置其在互联网上的暴露资产。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author