【工控安全】工控系統(tǒng)惡意感染軟件大多“業(yè)余”

　　工業(yè)控制安全公司Dragos發(fā)布新研究指出，每年有近3000個工業(yè)網(wǎng)站被普通的常規(guī)惡意軟件感染，但專門針對工業(yè)控制系統(tǒng)（ICS）的惡意軟件卻不常見。

　　Dragos威脅運營總監(jiān)本·米勒表示，惡意軟件確實進入了ICS環(huán)境，但大多數(shù)表現(xiàn)為“機會主義”。

　　Dragos分析了從VirusTotal（惡意軟件掃描服務(wù)）收集的1．5萬個樣本（3個月），研究人員確定，Sivis、Ramnit和 Virut病毒是工業(yè)設(shè)置中最常見的惡意程序。Dragos發(fā)博文解釋稱，這類感染十分常見，通常不會對物理安全構(gòu)成危險。

　　另一方面，諸如BlackEnergy這類“量身定做”的威脅（破壞烏克蘭電網(wǎng)）在某些情況下會對工業(yè)環(huán)境構(gòu)成重大危害。但在收集的樣本中，Dragos僅發(fā)現(xiàn)12個是專門設(shè)計用來滲透工業(yè)控制系統(tǒng)的惡意軟件的實例。

　　在這12個實例中，最具危害性的要屬一款犯罪軟件。自2013年以來，這款軟件一再設(shè)法通過西門子可編程邏輯控制器（PLC）軟件攻擊美國某工業(yè)控制環(huán)境。報告稱，過去四年，這種活動被記錄過10次。

　　Dragos認為，不熟悉ICS環(huán)境的IT安全團隊有時會將合法ICS軟件標(biāo)記為惡意軟件。Dragos報告了數(shù)千種獨特的ICS軟件，包括公共惡意軟件數(shù)據(jù)庫中的人機界面安裝程序、數(shù)據(jù)歷史存儲安裝程序和關(guān)鍵發(fā)生器。報告警告稱，這可能只是對手單純下載這些軟件文件用這種文件來學(xué)習(xí)和實踐。

　　Dragos報告稱，已發(fā)現(xiàn)了120多個合法ICS項目文件被錯誤標(biāo)記，并提交到公共惡意軟件數(shù)據(jù)庫，包括核監(jiān)管委員會報告、變電站布局和威脅報告。

　　米勒表示，他們發(fā)現(xiàn)一些提供商和用戶并沒有意識到自己上傳的內(nèi)容會導(dǎo)致數(shù)據(jù)泄露，其中一些上傳文件還包括不應(yīng)該上傳的工程、合規(guī)和維修等內(nèi)容。