工业控制系统或将成为互联网攻击的目标

新的研究揭示了2018年上半年袭击ICS系统面临的最大威胁，以及今年剩余时间内的最新威胁。工业控制系统（ICS）越来越成为目标，因为攻击者利用互联网来瞄准组织工业网络上的机器。

卡巴斯基实验室工业控制系统网络应急响应小组（ICS CERT）今天公布了2018年上半年调查工业自动化系统威胁状况的研究结果。研究人员从ICS计算机中提取ICS CERT团队认为部分组织的数据'工业基础设施。

本研究中的所有计算机都运行Windows并执行以下一项或多项功能：数据网关，数据存储服务器，SCADA服务器，工程师和操作员的固定工作站以及人机界面（HMI）。数据还来自工业控制网络管理员的计算机和为工业自动化系统构建软件的开发人员。

数据显示，遭受网络攻击的ICS机器的百分比正在稳步上升，从2017年上半年的36.6％上升到2017年下半年的37.7％，到2018年上半年的41.2％。

“在2018年上半年，我们看到更多的证据表明合法的远程访问工具[RATs]用于渗透或参与攻击ICS，”卡巴斯基实验室安全研究员Kirill Kruglov说。威胁行为者继续使用鱼叉式网络钓鱼攻击与合法软件（如RAT）一起攻击和加强对ICS机器的攻击。

他指出，数据显示攻击者正在变得越来越先进。研究人员看到威胁行为者使用更多针对性的鱼叉式网络钓鱼电子邮件和恶意软件进行ICS例行自动化。

克鲁格洛夫继续说，这次袭击背后的主要动机是工业和政府间谍活动。Cryptomining和勒索软件根植于经济利益。虽然他说一些攻击是出于破坏的动机，但很少有。Kruglov说，研究人员已经看到由于恶意软件URL，受感染的网站，水坑计划等导致的互联网源攻击的增加。但是，基于电子邮件的攻击在破坏ICS机器周边方面取得了更大的成功。

2018年上半年企业工业网络基础设施机器的主要攻击媒介是互联网（27.3％），可移动媒体（8.4％）和电子邮件客户端（3.8％）。一年前，互联网是20.6％的ICS计算机受到威胁的源头。研究人员在一篇关于他们研究结果的文章中解释说：“与控制网络被隔离的传统观点相反，在过去几年中，互联网成为组织工业网络上公司的主要感染源 。”

卡巴斯基实验室数据中约有42％的机器在2018年上半年有定期或全时的互联网连接。其余的每月连接不超过一次，而且频率较低。由于受限于工业网络的限制，ICS服务器和工程师/操作员工作站通常没有全时直接在线访问。在维护期间可以进行访问。

研究人员概述了2018年触及ICS机器的一些主要攻击事件，这些事件始于Spectre和Meltdown漏洞的消息。包括SCADA服务器，工业计算机和网络设备在内的工业设备容易受到这两种攻击。报告受影响产品的公司包括思科，西门子，施耐德电气，ABB和横河电机。

Cryptominers是今年ICS的主要攻击趋势：卡巴斯基实验室的数据显示，自4月以来，使用密码管理器攻击的ICS机器的百分比飙升，并在2018年上半年达到6％，在六个月内上升了4.2个百分点。挖掘恶意软件的主要问题是工业信息系统的负担，这可能会导致缺乏稳定性和控制。

攻击仍在继续：4月份，全球的Cisco IOS交换机受到了思科智能安装客户端软件中利用CVE-2018-0171的网络攻击。据思科Talos 报道，有超过168,000台设备暴露在外。5月，新的VPNFilter恶意软件被发现感染了54个国家的至少500,000台路由器和网络连接存储设备。恶意软件可以窃取凭据，检测SCADA设备并启动僵尸网络。

虽然全球勒索软件数量下降，但它们在ICS机器中上升，从1.2％增加到1.6％。研究人员报告说，在WannaCry和NotPetya活动之后，工业组织的风险“似乎很难被低估”。