威脅報告檢測到物理后果呈指數增長的OT網絡攻擊

2023年威脅報告 - 具有物理后果的 OT 網絡攻擊

在過去一年（2022 年），我們看到了 57 起針對工業系統的 OT 相關網絡攻擊，這些攻擊在現實世界中造成了物理后果。這是我們在 2021 年看到的 22 次類似攻擊的 2.5 倍多，是 2020 年看到的 19 次攻擊的 3 倍！ 其中大部分是勒索軟件式的攻擊，對 IT 網絡上的計算機和數據進行加密，但也對 OT 產生了影響。

該報告由 Waterfall Security Solutions 與 ISSSource 及其 ICSStrive OT 事件存儲庫合作創建，重點是：

離散制造：將許多小零件組裝成較大的制造對象（例如汽車或筆記本電腦）的操作。

加工業：將原材料轉化為更有用形式的操作，例如采礦或精煉。

關鍵基礎設施：對社會運轉至關重要的工業運營，例如交通、電力和公用事業。

本報告還包括自 2010 年以來對這些行業造成實際影響的所有攻擊的完整列表，包括指向可用于驗證攻擊和了解更多攻擊的公開報告和來源的鏈接。

關注回復關鍵詞 20230511 獲取報告

OT 安全公司Waterfall Security Solutions報告稱，在 2022 年發生的 218 起事件中，有 57 起與 OT 相關的工業系統網絡攻擊事件在現實世界中造成了物理后果。數據顯示，工業網絡安全已從過去十年的主要理論問題轉變為近十年來非常現實且迅速增長的問題。大多數這些攻擊都部署了勒索軟件，盡管該報告指出黑客活動分子正在增加他們的活動。

在過去的一年里，網絡攻擊的數量增加了 140%，超過 150 家工業企業受到影響。根據公司預測，如果這種增長率持續下去，未來五年內可能會有多達 15,000 個工業站點因網絡攻擊而關閉。它還補充說，其中大部分是勒索軟件式的攻擊，對 IT 網絡上的計算機和數據進行加密，但也會對 OT（運營技術）產生影響。 

根據Waterfall Security 與 ISSSource 及其 ICSStrive OT 事件存儲庫合作編寫的報告，“故意造成身體后果的黑客攻擊正在增加——2022 年發生了 6 次此類攻擊，是歷史上規模最大的一年。” “在剩下的攻擊中，絕大多數是勒索軟件，在大多數勒索軟件攻擊中，只有 IT 網絡受損，OT 網絡沒有受損。盡管如此，在我們跟蹤的所有勒索軟件攻擊中，都存在物理后果，要么是因為物理操作依賴于癱瘓的 IT 系統進行每分鐘的操作，要么是因為勒索軟件受害者不信任他們的 OT 安全系統的強度，因此關閉了操作'非常謹慎，'”它補充道。 

Waterfall-lCSSTRIVE 報告披露，交通行業今年遭受的攻擊數量最多，其中許多攻擊涉及 OT 對 IT 系統的依賴。它還涵蓋了美國 TSA（運輸安全管理局）發布的新鐵路指令，反映了其 2021 年管道指令，這些指令中的許多措施直接針對 IT/OT 連接和 IT/OT 相互依賴性。 

Waterfall-lCSSTRIVE 報告提到了基于大型語言模型的工具，例如 ChatGPT，這些工具有可能增強攻擊者編排網絡攻擊并造成物理后果的能力。它還補充說，隨著網絡攻擊對國家安全和公民日常生活的影響越來越大，預計許多司法管轄區將出臺新的法規和立法。

Waterfall-lCSSTRIVE 報告還涵蓋了新的 CIE 戰略，該戰略顯示了開發工程知識體系以設計物理操作和公共安全的網絡風險的希望。“2020 年后，工業安全威脅環境發生了重大轉變——造成物理后果的攻擊現在呈指數級增長。美國政府已經通過修改其防御策略來應對這種轉變的最初癥狀。全球其他當局將別無選擇，只能在未來幾年效仿，”它補充說。

展望未來，Waterfall-lCSSTRIVE 報告預測，由于關鍵基礎設施中斷的數量穩步增加，許多司法管轄區的政府將命令關鍵基礎設施所有者和運營商實施更強大的網絡安全措施。“更糟糕的是，我們注意到諸如 ChatGPT 之類的自然語言人工智能工具有可能增強網絡攻擊能力，從而從實質上加速網絡攻擊的增長，并帶來物理后果。” 

另一方面，它補充說：“我們還觀察到，新的網絡信息工程計劃有可能顯著提高OT 安全態勢的強度，即使面對國家級勒索軟件和人工智能驅動的網絡攻擊也是如此”

Waterfall-lCSSTRIVE 年度威脅報告側重于離散制造操作，這些操作將許多小部件組裝成更大的制造對象，例如汽車或筆記本電腦。它還考慮了將原材料轉化為更有用形式的過程工業操作，例如采礦或精煉，以及關鍵基礎設施，包括對社會運作至關重要的工業操作，例如運輸、電力和公用事業。

Waterfall-lCSSTRIVE 報告確定了今年一些最引人注目和最值得注意的事件。其中包括知名企業的停電，其中包括 14 家豐田汽車制造廠、23 家普利司通輪胎工廠以及Maple Leaf Foods 和 Macmillan Publishers 的停電。它還包括在四次單獨的攻擊中數萬名航空旅客的航班延誤，以及在四次針對金屬和采礦的攻擊中影響物理操作，其中一次攻擊導致火災和材料設備損壞。 

該報告還涵蓋了三大洲六個海港的集裝箱、燃料和散裝油裝卸故障。它還包括促成兩個受害組織的破產。“雖然這些事件都沒有像我們在 2021 年的 Colonial Pipeline 事件中看到的那樣成為頭版新聞，但 2022 年確實看到這些備受矚目的關鍵基礎設施站點受到了物理后果的影響，”它補充說。

雖然 Waterfall-lCSSTRIVE 報告的核心重點是物理上后果性的 OT 網絡事件，但一些未遂事件值得研究，以更深入地了解關鍵工業基礎設施威脅的性質。這些事件被定義為有驚無險的網絡攻擊，如果攻擊的情況略有不同，則可能會造成物理后果。 

六個值得注意的未遂事件包括 Seliatino Agrohub，2 月份黑客活動分子試圖通過將溫度設定點從 -24 更改為 +30 °C 來破壞莫斯科地區的 40,000 噸冷凍肉制品，但操作檢測到攻擊，設置放置回來了，網絡斷開了。

4 月，七個印度國家負荷調度中心 (SLDC) 面臨長達八個月、中國政府支持的對拉達克地區印度負荷分配中心的攻擊，但由于兩個核大國之間持續的邊界爭端而最終失敗。4 月，ESET 和 CERT-UA高度自信地確定俄羅斯 GRU（又名 Sandworm）的 74455 部隊使用 Industroyer2 惡意軟件將烏克蘭的高壓變電站作為目標，但攻擊在進行中被檢測到并被阻止。

7 月，DTEK 的 Kryvorizka 發電廠面臨烏克蘭電網的動能和網絡聯合攻擊，俄羅斯的導彈襲擊和威脅組織 XakNet 對工廠 OT 網絡發起的網絡攻擊最終未能破壞電網的穩定。8 月，South Staffs Water 和 Thames Water 面臨Cl0p 勒索軟件團伙，該團伙破壞了英國 South Staffs Water 的 IT 和 OT 系統，但在該國其他地方卻以一種奇怪的混合企圖雙重勒索 Thames Water。自來水公司都沒有遭受 OT 的后果。 

10 月，基礎設施、通信和運輸秘書處 (SICT) 面臨網絡攻擊，關閉了墨西哥頒發商業卡車運營商執照的機構的 IT 系統，這可能會損害國際貿易并停止許可證到期的卡車司機的運營。一項將所有許可證和文件延長至 12 月 31 日的緊急法令以及隨后沒有媒體報道這一問題表明該問題已在新年之前得到解決。

Waterfall-lCSSTRIVE 報告稱，2022 年，在離散制造、流程工業和工業關鍵基礎設施中發現了 42 次勒索軟件攻擊，造成了物理后果。“這幾乎是之前所有研究年度（2010-2021）中 47 次此類攻擊的總和。在 2022 年已知的勒索軟件攻擊中，有 17 起 (40%) 歸因于已知的勒索軟件類型或組。數字歸屬為 (6) BlackCat 或 ALPHV；(2) 分別由Conti、LockBit、Hive和 Black Basta 提供；(1) 分別發送給 Black Byte、RansomEXX 和 LV，”它補充道。 

該報告補充說，所涵蓋的大多數勒索軟件攻擊都不是故意導致運營關閉，而是因為對 OT 系統持續運營至關重要的 IT 系統因攻擊而癱瘓，或者因為受害組織選擇關閉運營以防止傳播對這些系統的勒索軟件“非常謹慎”。

交通運輸、離散制造和食品飲料是 2022 年受害目標行業前三名，與上年持平。這種分布的一個可能原因是“離散制造”不是一個行業，而是多個行業，市場研究表明，地球上的離散制造地點至少與所有關鍵工業基礎設施和流程制造地點的總和一樣多。因此，這一行業集合因網絡攻擊而遭受相當比例的中斷也許并不奇怪。 

該報告還確定了影響行業目標的另一個因素可能是 IT/OT 的相互依賴性。“在運輸行業，IT 系統對于每分鐘的運營來說往往是必不可少的，因為正是 IT 系統跟蹤包裹、集裝箱和內容。在大部分勒索軟件攻擊中，IT 網絡是第一個受到威脅的網絡，也是第一個內容和系統被加密和受損的網絡。因此，當勒索軟件進入其 IT 網絡時，物理操作和 OT 自動化系統嚴重依賴 IT 系統的行業更有可能遭受物理后果，”它補充道。 

Waterfall-lCSSTRIVE 報告確定了揭示攻擊復雜性增加的關鍵要點，從而強調了提高安全性、新的安全觀點以及實施網絡安全措施的新方法的必要性。它還確定了 OT 中的 IT 依賴性，因為很明顯，消除 OT 對 IT 系統的所有依賴性可能非常困難。

“但是，我們不能簡單地忽略任何必須保留的依賴性。相反，我們必須認識到，對于持續物理操作必不可少的 IT 系統實際上是可靠性關鍵組件。這些可靠性關鍵系統可能托管在 IT 網絡而不是 OT 網絡上，但必須像 OT 系統一樣進行管理和保護，”報告補充道。

該報告還指出了對外部系統和供應商的依賴。“如果供應商無法交付對制造商或其他工業運營的物理運營至關重要的商品或服務，那么受影響的運營必須關閉。如果與制造商有聯系的供應商或云服務提供商受到損害，那么該制造商以及實際上與該受損供應商有聯系的每個工業運營商都會面臨“謹慎”關閉的風險。受損供應商或服務的客戶是否關閉當然取決于每個客戶的網絡安全強度。”

Waterfall-lCSSTRIVE 報告提供預測，包括在 ICS 網絡殺傷鏈第 2 階段使用人工智能、增強全球響應和立法，以及工程網絡安全的出現，例如能源部網絡信息工程的發布(CIE) 戰略。 

在全球范圍內，勒索軟件攻擊的風險越來越大，這將繼續定義OT 網絡威脅格局。2022 年，勒索軟件針對各行業的組織、供應商和子公司的 ICS（工業控制系統）機制直接破壞了運營，而且頻率越來越高。 

地緣政治緊張局勢升級、Lockbit Builder 的推出以及 RaaS 模型的持續增長等多種因素已被確定導致勒索軟件活動不斷增加，這些活動正在影響工業組織并將繼續影響威脅格局。去年，RaaS 還繼續發展成為一種攻擊媒介，對 ICS 和 OT 環境的影響更大。