BlackEnergy正在影响工业控制系统网络
2014年10月29日由美国ICS-CERT机构爆出又一个针对工业控制系统网络的攻击事件,编号为ICS-ALERT-14-281-01A。
ICS-ALERT已经确认,攻击者可以利用这一漏洞,通过BlackEnergy恶意软件针对不同厂商的HMI进行攻击,被攻击厂商的系统已包括GE、研华WebAccess、西门子WinCC,但还不清楚是否有其他厂商的HMI产品也遭受了攻击。
截至目前,ICS-CERT并未发现利用BlackEnergy恶意软件的攻击者试图破坏、修改或进行其他损害业主控制系统的事件,但并不确定攻击者是否通过HMI进入过底层控制系统。
ICS-CERT已确认最初的感染是由于GE公司的Cimplicity HMI直接链接Internet所致。对事件分析发现入侵者自2012年1月就开始利用GE公司的Cimplicity HMI中的漏洞,这一漏洞在2014年的1月23日被CVE爆出。利用这一漏洞,入侵者可以再在HMI SERVER上执行恶意程序。BlackEnergy一旦被执行将会自动安装并删除源文件。
分析表明,攻击者可以利用自动化工具来发现和入侵控制系统。ICS-CERT已确认,除GE公司的Cimplicity系统外,BlackEnergy已影响到西门子WinCC系统和研华WebAccess软件,虽然ICS-CERT还未确认这些运行了被感染系统的业主单位的最初感染载体,但可以明确的是,这些攻击是有针对性的。
中科网威工控网络安全专家建议业主单位用户:
1.加强控制系统与互联网之间的安全防护级别,最小化所有控制系统直接暴露在互联网的可能性。
2.安装有效的工控防火墙设备,确保控制网络与信息网络之间的通信行为收到严格监管。
3.若必须从控制网络访问互联网请使用专用设备进行安全保护,例如VPN设备与有异常监测功能的工控防火墙设备的搭配使用。
4.删除或重命名系统默认账户。
5.尽可能减少弱密码的出现。
6.使用监测工具监测第三方供货商提供给业主单位的任何管理员级别的账户的动作。
7.使用网威工控网络异常感知系统,可帮助用户提供及时有效的报警信息。