【工控安全】工控系统恶意感染软件大多“业余”
工业控制安全公司Dragos发布新研究指出,每年有近3000个工业网站被普通的常规恶意软件感染,但专门针对工业控制系统(ICS)的恶意软件却不常见。
Dragos威胁运营总监本·米勒表示,恶意软件确实进入了ICS环境,但大多数表现为“机会主义”。
Dragos分析了从VirusTotal(恶意软件扫描服务)收集的1.5万个样本(3个月),研究人员确定,Sivis、Ramnit和 Virut病毒是工业设置中最常见的恶意程序。Dragos发博文解释称,这类感染十分常见,通常不会对物理安全构成危险。
另一方面,诸如BlackEnergy这类“量身定做”的威胁(破坏乌克兰电网)在某些情况下会对工业环境构成重大危害。但在收集的样本中,Dragos仅发现12个是专门设计用来渗透工业控制系统的恶意软件的实例。
在这12个实例中,最具危害性的要属一款犯罪软件。自2013年以来,这款软件一再设法通过西门子可编程逻辑控制器(PLC)软件攻击美国某工业控制环境。报告称,过去四年,这种活动被记录过10次。
Dragos认为,不熟悉ICS环境的IT安全团队有时会将合法ICS软件标记为恶意软件。Dragos报告了数千种独特的ICS软件,包括公共恶意软件数据库中的人机界面安装程序、数据历史存储安装程序和关键发生器。报告警告称,这可能只是对手单纯下载这些软件文件用这种文件来学习和实践。
Dragos报告称,已发现了120多个合法ICS项目文件被错误标记,并提交到公共恶意软件数据库,包括核监管委员会报告、变电站布局和威胁报告。
米勒表示,他们发现一些提供商和用户并没有意识到自己上传的内容会导致数据泄露,其中一些上传文件还包括不应该上传的工程、合规和维修等内容。
文章版权归西部工控xbgk所有,未经许可不得转载。