【工控安全】工控系統惡意感染軟件大多“業余”

　　工業控制安全公司Dragos發布新研究指出，每年有近3000個工業網站被普通的常規惡意軟件感染，但專門針對工業控制系統（ICS）的惡意軟件卻不常見。

　　Dragos威脅運營總監本·米勒表示，惡意軟件確實進入了ICS環境，但大多數表現為“機會主義”。

　　Dragos分析了從VirusTotal（惡意軟件掃描服務）收集的1．5萬個樣本（3個月），研究人員確定，Sivis、Ramnit和 Virut病毒是工業設置中最常見的惡意程序。Dragos發博文解釋稱，這類感染十分常見，通常不會對物理安全構成危險。

　　另一方面，諸如BlackEnergy這類“量身定做”的威脅（破壞烏克蘭電網）在某些情況下會對工業環境構成重大危害。但在收集的樣本中，Dragos僅發現12個是專門設計用來滲透工業控制系統的惡意軟件的實例。

　　在這12個實例中，最具危害性的要屬一款犯罪軟件。自2013年以來，這款軟件一再設法通過西門子可編程邏輯控制器（PLC）軟件攻擊美國某工業控制環境。報告稱，過去四年，這種活動被記錄過10次。

　　Dragos認為，不熟悉ICS環境的IT安全團隊有時會將合法ICS軟件標記為惡意軟件。Dragos報告了數千種獨特的ICS軟件，包括公共惡意軟件數據庫中的人機界面安裝程序、數據歷史存儲安裝程序和關鍵發生器。報告警告稱，這可能只是對手單純下載這些軟件文件用這種文件來學習和實踐。

　　Dragos報告稱，已發現了120多個合法ICS項目文件被錯誤標記，并提交到公共惡意軟件數據庫，包括核監管委員會報告、變電站布局和威脅報告。

　　米勒表示，他們發現一些提供商和用戶并沒有意識到自己上傳的內容會導致數據泄露，其中一些上傳文件還包括不應該上傳的工程、合規和維修等內容。