新的研究揭示了2018年上半年襲擊ICS系統(tǒng)面臨的最大威脅，以及今年剩余時間內的最新威脅。工業(yè)控制系統(tǒng)（ICS）越來越成為目標，因為攻擊者利用互聯(lián)網來瞄準組織工業(yè)網絡上的機器。

卡巴斯基實驗室工業(yè)控制系統(tǒng)網絡應急響應小組（ICS CERT）今天公布了2018年上半年調查工業(yè)自動化系統(tǒng)威脅狀況的研究結果。研究人員從ICS計算機中提取ICS CERT團隊認為部分組織的數(shù)據'工業(yè)基礎設施。

本研究中的所有計算機都運行Windows并執(zhí)行以下一項或多項功能：數(shù)據網關，數(shù)據存儲服務器，SCADA服務器，工程師和操作員的固定工作站以及人機界面（HMI）。數(shù)據還來自工業(yè)控制網絡管理員的計算機和為工業(yè)自動化系統(tǒng)構建軟件的開發(fā)人員。

數(shù)據顯示，遭受網絡攻擊的ICS機器的百分比正在穩(wěn)步上升，從2017年上半年的36.6％上升到2017年下半年的37.7％，到2018年上半年的41.2％。

“在2018年上半年，我們看到更多的證據表明合法的遠程訪問工具[RATs]用于滲透或參與攻擊ICS，”卡巴斯基實驗室安全研究員Kirill Kruglov說。威脅行為者繼續(xù)使用魚叉式網絡釣魚攻擊與合法軟件（如RAT）一起攻擊和加強對ICS機器的攻擊。

他指出，數(shù)據顯示攻擊者正在變得越來越先進。研究人員看到威脅行為者使用更多針對性的魚叉式網絡釣魚電子郵件和惡意軟件進行ICS例行自動化。

克魯格洛夫繼續(xù)說，這次襲擊背后的主要動機是工業(yè)和政府間諜活動。Cryptomining和勒索軟件根植于經濟利益。雖然他說一些攻擊是出于破壞的動機，但很少有。Kruglov說，研究人員已經看到由于惡意軟件URL，受感染的網站，水坑計劃等導致的互聯(lián)網源攻擊的增加。但是，基于電子郵件的攻擊在破壞ICS機器周邊方面取得了更大的成功。

2018年上半年企業(yè)工業(yè)網絡基礎設施機器的主要攻擊媒介是互聯(lián)網（27.3％），可移動媒體（8.4％）和電子郵件客戶端（3.8％）。一年前，互聯(lián)網是20.6％的ICS計算機受到威脅的源頭。研究人員在一篇關于他們研究結果的文章中解釋說：“與控制網絡被隔離的傳統(tǒng)觀點相反，在過去幾年中，互聯(lián)網成為組織工業(yè)網絡上公司的主要感染源 ?！?/p>

卡巴斯基實驗室數(shù)據中約有42％的機器在2018年上半年有定期或全時的互聯(lián)網連接。其余的每月連接不超過一次，而且頻率較低。由于受限于工業(yè)網絡的限制，ICS服務器和工程師/操作員工作站通常沒有全時直接在線訪問。在維護期間可以進行訪問。

研究人員概述了2018年觸及ICS機器的一些主要攻擊事件，這些事件始于Spectre和Meltdown漏洞的消息。包括SCADA服務器，工業(yè)計算機和網絡設備在內的工業(yè)設備容易受到這兩種攻擊。報告受影響產品的公司包括思科，西門子，施耐德電氣，ABB和橫河電機。

Cryptominers是今年ICS的主要攻擊趨勢：卡巴斯基實驗室的數(shù)據顯示，自4月以來，使用密碼管理器攻擊的ICS機器的百分比飆升，并在2018年上半年達到6％，在六個月內上升了4.2個百分點。挖掘惡意軟件的主要問題是工業(yè)信息系統(tǒng)的負擔，這可能會導致缺乏穩(wěn)定性和控制。

攻擊仍在繼續(xù)：4月份，全球的Cisco IOS交換機受到了思科智能安裝客戶端軟件中利用CVE-2018-0171的網絡攻擊。據思科Talos 報道，有超過168,000臺設備暴露在外。5月，新的VPNFilter惡意軟件被發(fā)現(xiàn)感染了54個國家的至少500,000臺路由器和網絡連接存儲設備。惡意軟件可以竊取憑據，檢測SCADA設備并啟動僵尸網絡。

雖然全球勒索軟件數(shù)量下降，但它們在ICS機器中上升，從1.2％增加到1.6％。研究人員報告說，在WannaCry和NotPetya活動之后，工業(yè)組織的風險“似乎很難被低估”。