据外媒 1 月 13 日报道，IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ，旨在利用其移动应用程序缺乏安全的编码标准，达到攻击关键基础设施的目的。 SCADA-ICS （ Supervisory Control and Data Acquisition Industrial Control Systems ）— 监督控制以及数据采集工业控制系统， 表示在关键基础设施上运行的工业自动化系统，负责清洁水、能源等关键服务的控制和运行。 近期，IOACTIVE 的研究人员发布了一份报告，分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。 该报告指出，移动应用存在于许多 ICS（工业控制系统） 领域，具体可分为两类：本地（Wi-Fi，蓝牙）和远程应用（互联网，VPN），目前这两类主要受到三种形式的攻击，如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露（ MiTM ）、应用程序泄露。 考虑到这些攻击，移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业网络基础设施，并威胁操作员对系统执行有害操作。 据 IOACTIVE 透露，该研究基于 OWASP 2016 进行，分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题（ 该安全编码可能允许代码被篡改 ）。 研究人员发现利用这些问题黑客可以远程控制智能手机，以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序，并且几乎每个应用程序都增加了16 个漏洞，例如一些应用程序中包含不安全的授权，而这些授权并没有经过任何形式的身份验证；由于缺少代码混淆，其他的漏洞也存在逆向工程；再加上不安全的数据存储和意外的数据泄露，使得黑客可以访问与 SCADA 系统相关的应用程序或数据。 由于这些新的漏洞构成了巨大的威胁，甚至超过了 2016 年乌克兰袭击所造成的损害，因此为了减少社会安全受到的威胁性，IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国网络安全公司 FireEye 发现了一种专门针对工业控制系统（ ICS ）的新型恶意软件 Triton ，旨在破坏关键基础设施中广泛使用的 Triconex 安全控制器，通过扫描和映射工业控制系统环境，以便直接向 Tricon 安全控制器提供侦察和发布命令。相关专家推测，鉴于经济动机和攻击的复杂程度，可能有国家资助的相关群体参与其中。 施耐德电气的 Triconex 安全检测系统( SIS )控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全联锁和保护、工艺监视，并在必要时安全停车。这次调查中 FireEye 没有将 Triton 攻击与任何已知的 APT ( 高级持续性威胁 ) 组织联系起来。专家认为此次事件是侦察活动的一部分，而且它与之前发生在全球的许多攻击和侦察活动一致。 定制级恶意软件针对工控系统，幕后团队疑有“国家资助” FireEye 表示， 黑客组织正在培养其造成物理损坏和在无意中关闭操作的能力，一旦他们获得 SIS 系统的访问权限，就会趁机部署 Triton 恶意软件，这一情况表明攻击者对 SIS 系统有一定的了解，因为根据 FireEye 的说法，攻击者需要事先编写和测试黑客工具，而该工具需要访问的硬件和软件并不被外界广泛使用。此外，Triton 也被设计为利用未公开记录的专有 TriStation 协议进行通信，这意味着攻击者反向设计协议来执行攻击。Triton 恶意软件与 Triconex SIS 控制器相互作用， 从而具有读写程序和控制器的功能。 知情人士透露，攻击者还在基于 Windows 的工程工作站上部署了 Triton 恶意软件并伪装成合法的 Triconex Trilog 应用程序用于检查日志。若出现故障，该恶意软件则会尝试将控制器恢复到运行状态；若尝试失败，也会使用垃圾数据覆盖恶意程序，并且可能会删除攻击痕迹。 相关人士透露，Triton 恶意软件对 SIS 控制器的攻击非常危险。一旦控制器被攻破，黑客就可以重新编程设备，以触发安全状态，并对目标环境的操作产生巨大影响。此外，攻击者也可以对重新编写 SIS 控制器程序 ，以避免在参数呈现危险值时触发操作。倘若 SIS 和 DCS 控制失败，那么就会触发最后一道防线 ——工业设施，其中包括设备的机械保护(例如破裂盘)、物理警报、应急反应程序和其他缓解危险情况的机制。 FireEye 表示， 黑客似乎对 SIS 造成高强度的攻击并带来物理伤害非常感兴趣，这在典型的网络犯罪团体中并不常见。在 FireEye 检测到的这次攻击中，黑客在触发 SIS 控制器启动“安全关闭”功能后终止了操作，因此专家们推测攻击者可能是在侦查阶段无意触发了控制器。 施耐德电气发布安全警告 目前，施耐德电气已经意识到 Triton 恶意软件是针对单个客户 Triconex Tricon 安全关闭系统的定向攻击事件，官方正在调查这些黑客组织是否利用了 Triconex 产品中的漏洞，并且表示会积极与其客户、网络安全组织和 ICS CERT 密切合作，以降低此类攻击风险。与此同时，施耐德发布了一项安全警告， 建议避免将 Triconex 控制器钥匙开关处于 “ Program ” 模式，因为在此模式下攻击者能够通过恶意软件传送 playload。 尽管多年来全球报告了大量的工控系统感染事件，但当时专家也只检测到几种专门针对 ICS 定制的恶意软件：Stuxnet、 Havex， BlackEnergy2、 IRONGATE 和 Industroyer 。 FireEye 公司已将识别出的恶意软件样本同步给其他网络安全公司，主流安全产品目前应该是能够检测出一些威胁变种的。 消息来源： Security Affairs ，编译：榆榆，校审：青楚、FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  9 月 28 日消息，卡巴斯基实验室（Kaspersky Lab）工控系统网络应急响应团队于近期发布《 2017 上半年自动化工控系统威胁报告》，指出公司于 2017 上半年成功阻止全球 37.6% 受保护的工控系统（ ICS ）设备免遭攻击，相比 2016 下半年减少 1.6 个百分点。 调查显示，全球工控系统设备于 2017 上半年遭到 33 个不同黑客组织的勒索软件攻击。幸运的是，卡巴斯基暂未发现任何专门针对工控系统开发的恶意软件样本。相关数据显示，五月发生的勒索软件 WannaCry 攻击事件中受损的工控设备数量在 2017 上半年排名第一（13.4％）。 图一：2017 上半年的十大恶意软件攻击活动中全球 ICS 设备受损百分比 安全专家表示，全球受影响的工控设备于 2016 下半年逐月增加。然而，2017 上半年与其相比却呈动态变化。相关统计显示，虽然 2017 年 1 月份的攻击比率有所下降，但在同年 2 月与 3 月又呈上升趋势，然后 4 月至 6 月又出现下降的情形。研究人员推测，可能是由于此类攻击活动的影响范围与传播规模导致。 图二：全球 ICS 设备在 2016 年 7 月至 2017 年 6 月期间受损百分比 调查显示，研究人员于 2017 上半年在自动化工控系统上检测到来自 2500 家不同黑客组织研发的逾 18,000 款恶意软件样本，其中 20.4% 的恶意软件隐藏在互联网钓鱼网站中。因此，作为工业基础设施的一部分设备来说，互联网仍然是工控系统的主要威胁来源，其感染因素包括企业与工控网络之间的对称接口、工控系统网络有限的互联网接入，以及通过手机运营商将工控系统设备连接至互联网等。 图三：2017 上半年中 ICS 设备的主要威胁来源 目前，卡巴斯基安全专家提醒用户不要轻易点击非官方域名或打开未知名电子邮件并确保安装全方位杀毒软件以避免遭受黑客攻击。 卡巴斯基详细报告内容请点击右侧《 2017 上半年工业自动化系统威胁报告 》 稿源：Kaspersky Lab，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。