工业互联网攻防演习漏洞利用_20250612100956.pdf

1、上海谋乐网络科技有限公司上海谋乐网络科技有限公司 CSO 李晓波李晓波2025年年6月月11美国管道公司美国管道公司Colonial PipelineColonial Pipeline遭受勒索攻击遭受勒索攻击2021年5月底，黑客组织DarkSide使用勒索软件进行了攻击，导致公司被迫关闭管道以防止恶意软件传播。导致美国东海岸燃油供应中断，造成广泛的经济影响，并迫使公司支付了赎金以恢复运营。此事件对工业基础设施具有重要影响。Colonial Pipeline是美国最大的燃油管道系统之一。NOBELIUM钓鱼攻击使用复杂的网络钓鱼和恶意软件注入，通过供应链攻击和钓鱼邮件入侵目标公司网络。窃取了大

2、量敏感信息，获取了部分电力公司的内部网络访问权限，但未造成实质性的电力供应中断。Nobelium是被怀疑与俄罗斯政府有关的黑客组织，曾发动SolarWinds攻击。这次攻击主要目标是欧美多家能源和电力公司。PIPEDREAM：攻击工业控制系统的恶意软件利用多种恶意软件工具，包括新型的控制系统恶意软件，进行长期潜伏和数据窃取。虽然具体的电力中断事件未被公开报道，但成功入侵多家电力公司的内部网络，展示了其对电力基础设施的威胁。PIPEDREAM是一个新发现的APT组织，目标是全球范围内的能源和电力公司。“沙虫”对乌克兰发动第三次停电攻击使用Industroyer2恶意软件，针对变电站自动化设备发出

3、恶意指令，试图造成大规模电力中断。乌克兰电力公司及时发现并阻止了攻击，避免了大规模停电，但此事件显示了攻击者的技术进步和持续威胁。攻击目标为乌克兰电力公司的变电站，与2016年的Industroyer攻击有相似之处。黑客入侵行为逐渐黑客入侵行为逐渐升级升级 经济利益驱动的网络攻击正在全面增长经济利益驱动的网络攻击正在全面增长，由个人威胁、小团队攻击由个人威胁、小团队攻击走向组织化、专业化走向组织化、专业化传统传统现在现在动机技术兴趣政治经济机密范围外部威胁 内外多种威胁手段渗透入侵各种手段技巧源头静态固定 移动动态变化威胁拒绝服务信息数据泄漏风险风险可控 风险很大失控个人威胁黑客团体威胁经济犯

4、罪威胁恐怖主义及国家级威胁71%的攻击泄露事件是出于经济动机发生的71%69%的威胁源来自外部69%56%的攻击泄露事件需要数月或者更长时间才能被发现。56%32%的攻击泄露事件跟钓鱼有关32%工业互联网工业互联网网络安全网络安全情况情况239.78271.16238.31212.8369.90501001502002503003504002024.122025.12025.22025.32025.4网络攻击总数(万次)56815296119207010020030040050060020202021202220232024工控系统漏洞(个)攻击类型攻击类型典型案例典型案例/影响影响行业分布行

5、业分布漏洞利用（26.7%）西门子PLC漏洞致钢铁厂损失800万美元制造业、能源恶意软件（21%）寄生式Stuxnet变种干扰航天部件加工高端制造、航空航天勒索软件委内瑞拉水厂被锁氯气阀门，勒索比特币水务、市政弱口令/未授权访问汽车企业SQL注入漏洞致数据库权限泄露汽车制造、电气设备能源（电力、石油）、制造业（汽车、冶金）、水务和市政设施是重灾区，占攻击总量的65%以上工业互联网的发展面临前所未有的安全挑战工业互联网的发展面临前所未有的安全挑战“网络武器库”泄露后风险威胁凸显敲诈勒索和“挖矿”等牟利恶意攻击事件数专门针对工业控制系统的恶意软件在兼容性、普适性和攻击深度上都在变强 针对工业控制系

6、统的网络攻击事件正在向有国家背景的、有组织的、长期潜伏的、定制化设计的、大规模的、针对基础设施的方向发展。工控网络安全风险工控网络安全风险分析分析0101架构设计有欠缺架构设计有欠缺一些生产网在规划设计阶段，对不同车间工控系统缺少网络架构设计，导致网络之间、安全域之间缺少安全防护措施，网络边界无法感知，终端异常接入、违规外联现象屡有发生。存在未经授权访问、感染病毒和木马、受到拒绝服务攻击等风险。0303工控网络中异常流量无法工控网络中异常流量无法监测监测由于缺少工控网络监测审计手段，对一些利用工控网络攻击的行为就无法识别与感知，同时内部违规操作、误操作等异常流量不能感知，因此工控系统存在被攻击