工业控制系统定向攻击恶意软件简史

如何定义ICS-OT定向攻击？我们认为它是一种旨在损害ICS可用性或完整性的攻击，即专门设计用于阻止资产所有者监视和控制物理过程的攻击。进入OT环境的通用勒索软件不是ICS-OT定向攻击。如果排除利用通用的恶意代码实施的针对ICS的攻击，即不归结为ICS-OT定向攻击，那真正的这种定向攻击的事件有多少？这肯定是一个有争议的话题。据卡巴基的遥测数据，2022年期间，全球工业控制系统 (ICS) 中40%以上的计算机遭受过某种恶意攻击，这显然是所有的攻击。

大量公开报道的针对工业网络的攻击事件中，即因网络攻击而导致的ICS中断事件，是由勒索软件或某些大众市场恶意软件/攻击代码引起的。比如著名的Colonial管道勒索事件、最近发生的日本名古屋港遭勒索事件等。公开披露的成功ICS-OT定向网络攻击（类似Stuxnet-震网事件的那种）的数量很少。这里的原因非常复杂，发现能力的问题，报告不报告的问题，识别能力的问题，判定标准的问题，等等。通常情况下，受害公司不愿意公开这些信息。有可能存在由网络攻击引起的事件，但受害者并未将其识别为ICS定向网络攻击。也可能有许多ICS-OT定向攻击被挫败被阻止没有成功。

对于恶意软件作者来说，编写特定于工业控制系统(ICS)的恶意软件相对困难。与传统的IT恶意软件相比，如果想要破坏 ICS，则需要投入更多的精力。原因主要有三个方面。

首先，攻击者需要了解目标环境。由于ICS设施比IT设施更加异构，攻击者通常需要针对特定目标定制攻击并收集该特定站点的情报。

其次，攻击者必须了解他们所针对的进程。恶意软件作者通常不是冶金、能源生产或海水淡化领域的专家，如果他们想要篡改底层物理过程，他们必须与主题专业人士学习以了解其背后的物理过程。

第三，在ICS环境中，有大量的功能安全系统可以防止操作员犯下代价高昂的错误。这些系统还与遏制网络攻击相关，因为它们可以控制危险的物理异常。

目前已经发现的专门针对ICS环境或定向攻击ICS的恶意软件家族，下面列出的这七种基本应该不会有异议。

1、Stuxnet (2010)：Stuxnet是第一个在野外发现的ICS恶意软件，当时它以伊朗核设施中的离心机为目标，目的是通过改变其旋转速度来造成物理损坏。它在当时被认为是新颖的，并引入了一些恶意技术，无论ICS环境如何，如今攻击者仍在使用这些技术，例如进程空洞和使用WMI获得持久性。

2、Havex(2013)：Havex（又名Dragonfly）于2013年被发现是大规模工业间谍活动的一部分。Havex背后的威胁行为者使用不同的技术感染其目标，包括网络钓鱼电子邮件，以及破坏多个ICS设备供应商的网站，并用恶意版本替换合法的供应商软件更新。当受害者下载特洛伊木马更新时，他们就会感染Havex恶意软件，这使得威胁行为者能够远程访问受感染的网络并从受感染的计算机中获取数据。

3、BlackEnergy2/3（2014-2015）：一年后，BlackEnergy2恶意软件出现。2014年，美国国土安全部披露，控制多个国家重要基础设施的软件遭到破坏，包括核电站、电网、水净化系统以及石油和天然气管道。一种非ICS特定变体BlackEnergy3后来被用作2015年针对乌克兰能源公司网络的攻击活动的一部分。对于这两种变体，在目标内建立立足点后，攻击者需要遍历网络并手动造成损害。

4、Industroyer Crashoverride (2016)：与主要用于在ICS中立足并探索工业流程的BlackEnergy2不同，Crashoverride恶意软件的目的是自动对电网运行造成物理损坏，而不需要攻击者具有“攻击期间“双手放在键盘上”。为了实现这一目标，它被编码为使用ICS特定协议与目标设备通信并与电网设备交互。

5、Trisis/Triton(2017)：如前所述，ICS设施配备了安全仪表系统(SIS)，一旦潜在的动力学过程显示出危险行为，该系统就会自动启动作为故障安全措施。例如，安全阀会自动打开以释放超过正常水平的压力，以防止人身伤害和设备损坏。Triton是第一个专门针对安全设备的ICS恶意软件。从这个意义上说，这是攻击者的坚韧和大胆的一个进步。

6、Industroyer2（2022）：在原版2016 Industroyer成功用于停止乌克兰的电网运行后，其后继产品Industroyer2 于2022年也在乌克兰被发现。根据工业网络安全公司Dragos的说法，Industroyer2是其前身的精简版，旨在（除其他外）将电网断路器从打开切换为关闭，反之亦然。

7、Pipedream (2022)： Pipedream是迄今为止最新发现的、最复杂的ICS特定恶意软件，能够与来自不同供应商的一长串 ICS设备进行本地交互。根据CISA通报，该恶意软件能够“扫描、破坏和控制某些ICS/SCADA设备”。Dragos表示，这些功能 “对工业控制系统和过程的可用性、控制和安全性构成了明显而现实的威胁”，并且“可用于危及操作和生命”。

显然，这还不能算作一个完备的定向ICS-OT攻击的恶意软件列表。

在网络安全领域，人们经常根据机会、能力和意图三者来分析威胁。威胁行为者必须拥有这三者才能发动成功的攻击。根据ICS特定恶意软件的简史，威胁组织似乎变得越来越大胆，试图造成物理损坏和攻击安全系统，从而表明造成伤害的总体意图越来越明显。对恶意软件的技术分析揭示了其日益复杂的趋势，表明其能力不断增强。网络防御者有责任从过去吸取教训，让网络能够对抗对攻击者，从而剥夺他们寻求的机会。

参考资源

1、https://www.darkreading.com/attacks-breaches/brief-history-of-ics-tailored-attacks

2、https://www.darkreading.com/application-security/40-global-ics-systems-attacked-malware-2022

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。