1、工业控制系统安全威胁白皮书2024White Paper of Industrial Control System Threats-2024上海交通大学宁波人工智能研究院浙江国利网安科技有限公司极星工控安全联合实验室工业控制系统安全威胁白皮书目录前言.I一、工业控制系统安全概述.1二、工业控制系统安全事件.21、FrostyGoop 攻击事件.22、Cactus 勒索攻击事件.33、Fuxnet 攻击事件.44、Akira 勒索攻击事件.55、CMoon 蠕虫攻击事件.66、Ivanti VPN 攻击事件.7三、活跃的 APT 组织.71、Lifting Zmiy 组织.82、Libraria

2、n Ghouls 组织.93、29155 部队.104、Hellhounds 组织.11四、工业控制系统的安全漏洞.111、工业控制系统重点漏洞.112、工业控制系统漏洞统计分析.16（1）漏洞的类型和数量.16（2）漏洞的厂商分布.17（3）漏洞的危害统计.18（4）漏洞的产品分布.20五、极星实验室安全研究成果.201、ICS 漏洞挖掘.202、新型攻击方式.21（1）工控系统工程文件植入式攻击.22（2）基于闪存的设备物理毁伤攻击.24（3）DM-PLC 勒索软件攻击.29六、总结.32工业控制系统安全威胁白皮书I前言前言工业控制系统涉及到的行业包括了油气、炼化、矿产、水务、交通以及制造

3、业等行业，这些行业是国民经济的重要组成部分，关系到一个国家经济的健康发展，与人民的生活息息相关。保证工业控制系统的安全才能给国家基础设施提供有效的保障。2024 年工业和信息化部正式印发工业控制系统网络安全防护指南，立足我国工业控制系统发展和安全建设实际，围绕安全管理、技术防护、安全运营、责任落实四个方面，面向工业企业提出 33 项指导性安全防护基线要求，指导工业企业切实提升工控安全防护水平。尽管政府和企业投入了大量的人力物力来保证工业控制系统安全，仍然有许多知名工业企业遭受到了网络攻击。这一方面是由于在地缘政治冲突中，攻击工业控制系统所需要的成本远低于物理空间中的直接对抗，而给对手带来的影响

4、却是巨大的；另一方面是攻击者对工业控制系统研究的逐步深入为这些攻击行为提供了技术上的支持。“不知攻，焉知防？”，为了应对工业控制系统越来越严峻的安全形势，首先需要了解攻击者所使用的技战术，才能够有效地补齐防护策略中的短板，保障工业控制系统的安全。本白皮书选取了 2024 年工业控制系统的典型攻击事件，结合这些攻击所关联的背景事件，剖析了针对工业控制系统攻击所呈现出的新趋势，从攻击者的角度展示了在对工业企业的攻击中使用的技战术，给工业企业带来一定的安全启示。极星工控安全联合实验室工业控制系统安全威胁白皮书1一、工业控制系统安全概述一、工业控制系统安全概述2024 年工业控制系统安全依然面临着各种

5、挑战，勒索软件、供应链攻击和网络钓鱼等攻击方式持续威胁工业控制系统安全。工业控制系统作为关键基础设施的核心控制层，其安全性直接影响着国民经济、公共安全和社会稳定。也正因为如此，工业控制系统成为攻击者青睐的目标。同时，随着攻守双方对工业控制系统的深入研究，针对工业控制系统的新型攻击方式也不断涌现。总结 2024 年工业控制系统的安全威胁和攻击事件，不难发现以下特点。（1）相较于 2023 年，地缘政治冲突中的参与者已经充分认识到针对工业控制系统攻击的“性价比”，即攻击成本远低于物理空间中的直接冲突，而造成的破坏却能影响国家的正常经济活动和人民的日常生活攻击成本远低于物理空间中的直接冲突，而造成的

6、破坏却能影响国家的正常经济活动和人民的日常生活。因此，越来越重视对工业控制系统控制的基础设施的攻击。（2）随着攻击组织对工业控制系统的深入了解，其攻击的技战术也比去年更专业，更是提出一些具有创造性的攻击方式。这是因为这些攻击组织大都受到国家背景力量的支持，能够花费大量的时间和精力对工业控制系统进行深入研究。（3）攻击组织针对工业控制系统的定制化工具逐渐流行。继震网病毒、PIPEDREAM 和 BlackEnergy 等针对工业控制系统的恶意软件之后，针对工业控制系统的定制化攻击工具进一步流行，这些工具充分利用工业控制系统提供的公共库或者协议等，实现对工业控制系统的攻击这些工具充分利用工业控制系