在2022年，针对工业基础设施的网络攻击越来越复杂，数量也越来越多。研究发现，采用一个模块化恶意软件工具包，就能够针对不同行业垂直领域的数万个工业控制系统(ICS)进行攻击。与此同时，Dragos公司发布的事件响应报告表明，80%受影响的环境缺乏对工业控制系统(ICS)流量的可见性，一半的环境存在网络分段问题，其OT网络的外部连接不受控制。

Dragos公司的研究人员在一份最新发布的年度报告中说:“Dragos公司追踪的许多威胁在未来可能会演变出颠覆性和破坏性的能力，因为网络威胁行为者通常会进行广泛的研究和开发，并随着时间的推移实施他们的程序和活动，这项研发为他们未来的活动提供了信息，并最终提高了他们的破坏能力。”

跟踪活跃的ICS威胁团伙

自从2020年以来，Dragos公司一直在跟踪20个针对工业基础设施攻击的威胁组织和团伙。在这些团伙中，有8个在去年比较活跃，其中包括被Dragos公司命名为Chernovite和Bentonite的新团伙。

在这两个团伙中，Chernovite表现比较突出，展示了ICS网络杀伤链第一阶段和第二阶段的各个方面：第一阶段是初始入侵和侦察活动，允许网络攻击者收集有关运营技术(OT)环境的信息，帮助他们开发针对特定ICS实施的能力。第二阶段是将第一阶段收集的信息实现武器化，并发展实际影响ICS的能力。

Chernovite是一个高度复杂的恶意软件平台的幕后黑手，该平台能够攻击Dragos称之为Piperdream的工业控制系统，网络安全服务商Mandiant公司将其称为Incontroller。该恶意软件在2022年初被发现，据悉是由政府支持开发的。Dragos公司没有进行攻击归因评估，Mandiant公司指出，这符合某国对攻击ICS的兴趣，但其证据是间接的。

Dragos公司的首席执行官兼联合创始人Robert M.Lee在新闻发布会上表示，Piperdream或Incontroller在被“使用”之前就被发现了，这意味着虽然攻击者没有发动攻击，但已经非常接近。在他看来，恶意软件没有得到应有的关注，可能是因为在造成损害之前就被发现了，但它具有非常有效的破坏性和破坏能力，可能是有史以来最接近让美国和欧洲基础设施中断运营的攻击。

他说,“我不想炒作任何事情，因为并没有基础设施遭到更大的攻击，所以有些事情没有发生，但我认为人们不明白它离发生有多近。”

据悉，Chernovite团伙的目标是十几个关键的电力和液体天然气站，但恶意软件的攻击绝不局限于这些行业。事实上，Pipedream是有史以来第一个利用一些最广泛的ICS协议中的原生功能的ICS恶意软件，包括施耐德电气、欧姆龙、CODESYS PLC以及支持OPC统一架构(OPC UA)标准的任何PLC所使用的协议。

换句话说，任何基础设施运营商可以通过这些协议做的事情，恶意软件都可以做。Lee表示，在某种程度上，它比任何特定供应商的工程工作站软件更令人印象深刻，因为该软件只能与特定供应商的PLC一起工作，但Pipedream可以与所有这些软件一起工作。

Lee说，“这令人印象深刻，所以，它最初的设计目标是15种特定类型的设备，但目前它可以在社区中部署的数千个不同的控制器和设备、数百个不同的供应商以及几乎所有行业中运行。”

最糟糕的是，这些漏洞没有可以修补的补丁，因为它几乎都是原生功能。Dragos表示将会看到这种恶意软件再次部署，并且没有简单的解决办法，那些只关注预防而不做检测和应对的企业，几乎无法对抗这种攻击。

Lee说，“全球大约5%的基础设施正在受到监控。我们所有的努力都是为了防止网络攻击，我想说的是，虽然受到监控的基础设施比例较小，我们仍然发现了一些相当可怕的事情。”

Bentonite团伙在2022年被发现，目前该团伙只显示了第一阶段的能力，其主要目标是制造业和石油天然气行业，但它选择的受害者似乎是随机的，利用他们发现的任何对外暴露的远程访问连接或利用互联网资产。该团伙植入的恶意软件并不引人注目。然而Dragos公司警告说，该团伙很狡猾，其收集的信息将允许它在未来进入OT网络，例如工业设备图或物理过程的数据。

另一个在2022年仍然活跃的网络威胁团伙是Kostovite，这是一个最初在2021年发现的群体，已经证明了进行横向移动并到达OT和ICS网络的能力。它通常利用企业外围环境，并可以使用零日漏洞。有证据表明，它的目标可能与APT5有一些重叠。

Kamacite和Electrum是两个继续实施攻击活动的ICS威胁团伙，并与Sandworm有关，Sandworm被认为是某国军事情报机构(GRU)的一个单位。Sandword使用NotPetya恶意软件进行了破坏性攻击，使用BlackEngery和Industrierr恶意软件程序对乌克兰电网进行了多次攻击。Kamacite通过一个名为“Cyclops Blink a”的植入物获得对网络的初始访问权，然后将该访问权传递给Electrum，后者通常负责造成破坏性影响。Kamacite攻击的目标包括欧洲、乌克兰和美国的基础设施。

Xenomite是另一个仍然活跃的ICS威胁团伙，主要专注于针对中东和美国的电力、石油和天然气公司进行破坏，其目标似乎经过精心挑选，并且它们之间存在联系。这表明，该集团从非公开来源对石油和天然气行业有细致入微的了解，从而能够确定压力点。

Xenomite是开发Triton软件的团伙，Triton是一个恶意软件框架，2017年使沙特阿拉伯的一家公司正在使用的Trisis仪器安全系统(SIS)失效。这使得Xenomite成为有动机和能力摧毁关键基础设施的团体之一。

Erythrite是ICS网络杀伤链第一阶段的威胁团伙，该团伙使用不太复杂的技术，例如搜索引擎优化(SEO)中毒和自定义恶意软件。该团伙的重点是数据和证书盗窃，但其大规模活动，尤其是针对制造业的活动令人担忧。它的目标包括约20%的财富500强公司，大部分位于美国和加拿大。Dragos说，对于IT和OT之间网络分段较差的企业来说，该团伙是一个特别大的威胁。

最后，Wassonite是一个处在第一阶段的团伙，专注于攻击来自南亚和东亚的核能、电力、石油和天然气、先进制造业、制药和航空航天行业。该团伙使用DTrack和AppleSeed远程访问木马，这些木马通过为特定行业和组织定制的鱼叉式网络钓鱼诱饵分发。

除了这些企业的有针对性的威胁之外，Dragos还指出，去年针对工业组织的勒索软件攻击增加了87%，其中制造业是受影响最大的行业。LockBit的攻击次数最多，其次是现在已经解散的Conti ransomware、BlackBasta和Hive。

ICS漏洞和盲点

与2021年相比，专门针对ICS相关硬件和软件的漏洞数量增加了27%，但这并不能反映全局，因为并非所有漏洞数量增长都是相同的，尤其是在ICS领域。

因此，Dragos公司对这些漏洞进行了更深入的风险评估，发现15%的漏洞位于企业网络的设备中，85%位于ICS网络深处。此外，一半漏洞没有导致能见度或控制力的丧失。更大的问题是，在打补丁经常涉及关闭运营和关键设备的行业，资产所有者严重依赖于缓解措施，而在提供补丁的70%的供应商中，51%的供应商表示没有包含任何缓解措施。另有30%表示没有补丁，16%表示没有实际的缓解措施。

在34%的供应商中，Dragos公司发现了错误的数据，例如错误的软件编号、错误的硬件型号、错误的版本等等。该公司评估，在70%的情况下，严重程度评分应该高于供应商指定的评分，30%的情况下低于供应商指定的评分。

好消息是，根据Dragos公司的风险评估，将漏洞分为立即修补、下一个周期修补和不应该关注三种，只有2%属于立即修补类别。另外95%的漏洞可以推迟到下一个周期修补，并通过网络分段、监控和多因素身份验证来缓解。3%的漏洞的作用或者被夸大，或者完全错误，属于最后一类。

根据该公司进行的安全评估，最常见的问题是ICS环境中缺乏可见性，80%的客户的OT可见性有限。然而，2022年比前一年下降了6%，因此有所改善。一半的客户存在网络分段问题，下降了27%。53%的客户有未公开或不受控制的OT网络连接，与2021年相比下降了17%。整个行业的情况仍然不太好，而且有一个领域似乎正在变得更糟，那就是IT和OT之间缺乏用户管理分离，54%的企业存在这种情况，与2021年相比增加了10%。

Lee说:“这是我们在大量勒索软件案例中看到的事情之一，勒索软件参与者的目标是IT网络，通过Active Directory域控制器传播勒索软件，然后进入运营网络，即使它不是他们通过共享凭证的目标。”

最令人担忧的发现之一是，80%的被评估客户仍然没有对其ICS系统的可见性，80%的企业相对成熟，并接受Dragos等网络安全服务商的服务。事实上，这个数字可能更高。

Lee说，“如果企业不知道自己有什么，就不知道自己有多少资产，它们是如何连接的，谁在连接它们，以及任何类型的检测。企业永远不会得到根本原因分析，或了解哪里出了问题，或能够发现对手。平均而言，80%以上的企业根本无法做到这一点，当谈论关键基础设施和管道时，这显然是一个令人担忧的问题。”