从震网到FrostyGoop：工业控制系统安全防护指南

从震网到FrostyGoop：工业控制系统安全防护指南

引用

CSDN

等

11

来源

1.

https://blog.csdn.net/Kalds157551973/article/details/144255601

2.

https://blog.csdn.net/galaxylove/article/details/137910559

3.

https://www.secrss.com/articles/74707

4.

https://www.secrss.com/articles/68477

5.

https://blog.csdn.net/A_991128a/article/details/136721486

6.

https://andisec.com/icsgongji.html

7.

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11513

8.

https://sthjt.shaanxi.gov.cn/html/hbt/zfxxgk/xxgkhjxxh/63788.html

9.

https://www.freebuf.com/articles/ics-articles/405493.html

10.

https://www.ibm.com/cn-zh/think/topics/ot-security

11.

https://www.zd-sec.com/news_xq/324.html

2010年，一种名为“震网”的蠕虫病毒悄然蔓延，它并非普通的计算机病毒，而是专门针对工业控制系统（ICS）设计的“数字武器”。这种病毒通过U盘传播，悄无声息地潜伏在伊朗核设施的控制系统中，最终导致约20%的离心机失灵或报废，迫使布什尔核电站发电计划一再推迟。这一事件震惊了全世界，让人们首次意识到：在虚拟的网络空间里，一场针对关键基础设施的“网络战争”已经悄然打响。

新型威胁：FrostyGoop恶意软件

时间快进到2024年，工业控制系统再次面临新的威胁。工业网络安全公司Dragos最新发布的研究报告显示，一种名为FrostyGoop的新型恶意软件正在悄然蔓延。这是迄今为止发现的第九个专门针对ICS的恶意软件，也是第一个使用Modbus TCP通讯来对运营技术（OT）产生影响的ICS特定恶意软件。

2024年4月，Dragos首次发现了FrostyGoop的踪迹。这种用Golang编写的恶意软件，能够通过502端口使用Modbus TCP直接与工业控制系统交互。更令人担忧的是，在被发现时，主流杀毒软件竟然未能检测到其恶意性。

FrostyGoop的能力不容小觑。它不仅能读取和写入ICS设备的保持寄存器，还能通过命令行参数或JSON配置文件指定目标IP地址和Modbus命令。更令人担忧的是，它能够向配置文件中指定的保持寄存器地址发送Modbus TCP命令，这意味着它可以远程操控工业设备，造成不可预知的破坏。

现实案例：乌克兰利沃夫市供暖系统中断

2024年1月，乌克兰利沃夫市发生了一起严重的网络攻击事件。在零下温度期间，该市某地区能源公司的供暖服务电力供应遭到破坏，导致超过600栋公寓楼失去供暖服务，影响持续了整整两天。

调查显示，攻击者利用了Mikrotik路由器的一个未确定漏洞进入受害者网络。由于网络资产没有进行充分的分段，攻击者得以轻松渗透到核心控制系统。最终，他们向ENCO控制器发送了恶意的Modbus命令，导致测量不准确和系统故障。

这一事件再次敲响了警钟：工业控制系统正日益成为网络攻击的目标，而传统的安全防护措施已经难以应对这些新型威胁。

最佳实践：构建全方位防护体系

面对日益严峻的ICS安全形势，美国国家安全局（NSA）于2024年4月发布了《安全部署人工智能系统：部署安全、弹性人工智能系统的最佳实践》指南。虽然这份指南主要针对人工智能系统，但其中的许多建议同样适用于ICS系统的安全防护。

1. 开发和构建安全的ICS系统

安全防护应该从系统开发的最早阶段就开始考虑。建议采用安全开发生命周期（SDLC）模型，确保在设计、开发、测试和部署的各个阶段都遵循最佳安全实践。同时，应充分利用自动化代码审查和安全性测试等现代开发技术，提高系统的整体安全性。

2. 保障数据安全

数据是ICS系统的核心资产。组织应该采取多种措施来保护数据安全，包括实现强密码策略、内部网络分区、访问控制和加密。此外，还可以采用数据伪装技术，使敏感数据在传输和存储过程中难以被攻击者解读。

3. 确保系统和工具的安全

及时更新操作系统、应用程序和工具是防止漏洞被利用的关键。组织应实施严格的补丁管理策略，定期执行安全审计，减少系统默认设置中的安全风险。

4. 建立安全管理计划

一个完善的安全管理计划是确保ICS系统持续安全运行的基础。这包括定期的安全评估、问题记录和回顾机制。同时，所有操作都应符合既定的安全标准和最佳实践。

5. 响应安全事件

一旦发生安全事件，应立即启动应急预案，按照既定的安全计划和标准操作程序进行处理。对事件进行彻底调查，分析原因和影响，并采取措施防止类似事件再次发生。

重点防护：工程工作站安全

最新的研究数据显示，工程工作站已成为攻击者的主要目标，相关安全事件已占所有OT安全事件的20%以上。这些工作站之所以成为理想目标，是因为它们不仅运行传统操作系统，还安装了厂商专用的工程软件，如西门子TIA Portal或三菱GX Works。

为了应对这一威胁，专家建议采取以下关键措施：

1. 确保工程工作站的安全防护：包括安装防病毒软件、定期更新系统和应用程序、限制不必要的网络连接等。

2. 实施适当的网络区隔：通过网络隔离和访问控制，防止攻击从企业网络扩散到ICS网络。

3. 建立持续性威胁监控机制：部署专门的OT安全监控系统，及时发现和响应潜在威胁。

尽管针对OT环境的恶意软件攻击目前仍少于企业环境，但随着工业数字化的深入，这一形势可能很快发生变化。因此，OT安全人员和ICS负责人必须保持高度警觉，积极采取预防措施，以应对未来可能出现的威胁。

从“震网”病毒到FrostyGoop，工业控制系统正面临着前所未有的安全挑战。但通过采用最佳实践和最新防护技术，我们完全有能力构建一个更加安全可靠的工业控制系统环境，为国家经济基础设施和人民生活设施提供坚实保障。