虽然非针对性恶意软件攻击工控系统的案例并不少见，但针对性攻击也在逐渐变得平常起来。

　　其中一个APT组织是Electrum。该组织曾在2016年12月通过CRASHOVERRIDE/Industroyer恶意软件导致乌克兰大面积停电。Electrum组织也跟Sandworm Team之间存在关联，后者被指是导致乌克兰2015年断电事件的幕后黑手。俄罗斯被指是这两起攻击的操纵者。

　　虽然Electrum自从2016年攻击乌克兰能源部门后尚未发动任何大型攻击，但Dragos表示该组织一直呈活跃状态而且有证据表明其攻击目标在扩大。

　　Dragos在报告中指出，“虽然Electrum此前发动的攻击活动主要是集中于乌克兰，但来自底层事件信息以及该组织和SANDWORM之间的关联说明Electrum组织根据其赞助者焦点的转移可能被分配到了其它区域。”

　　另外一个针对工控系统的APT组织是Covellite，它被指跟朝鲜Lazarus黑客组织之间存在关联。研究人员从2017年9月份开始观测Covellite组织，当时该组织发动了针对美国一家电网企业的针对性钓鱼攻击。研究人员随后发现该组织针对位于欧洲、5大工业控制系统，北美和东亚地区的攻击活动。

　　和Electrum组织不同，Covellite组织在攻击活动中尚未使用专门针对工控系统的恶意软件。

　　Dragos还在报告中归纳了Dymalloy组织的活动。研究人员在调查Dragonfly组织（也被称为“Crouching Yeti”和“Energetic Bear”）的过程中发现了Dymalloy组织的行踪。Dragonfly组织被指源自俄罗斯，因其使用复杂的Havex恶意软件而为人所知，最近它被指攻击位于美国能源企业的控制系统。

　　Dragos认为Dymalloy组织和Dragonfly之间并不存在关联，或者说至少不存在直接关联，而且该组织使用的工具并不如Havex复杂。然而，黑客确实设法攻陷了位于土耳其、欧洲和北美地区的工控组织机构并成功访问人机界面设备。

　　专家认为Dymalloy似乎从2017年早期变得不太活跃，可能是对媒体关注以及安全研究人员的回应。

　　自从2017年中旬起，Dragos就在追踪名为“Chrysene”的一个黑客组织，其攻击活动主要针对的是北美、西欧、以色列和伊拉克，尤其是发电行业和石油天然气行业的组织机构。

　　至今仍然活跃的Chrysene使用曾被伊朗黑客组织OilRig和Greenbug使用的框架变体。

　　Dragos指出，“虽然CHRYSENE的恶意软件相比使用类似工具的威胁组织具有很强的增强功能，但Dragos尚未发现该组织所使用的专门针对工控系统的功能。所有的活动似乎只是针对IT渗透和监控，而所有的目标均跟工控组织机构相关。”

　　值得注意的是，最近遭披露的恶意软件Trisis/Triton是首个旨在中断安全仪表系统(SIS)的威胁，某些研究人员认为它和伊朗之间存在关联。

　　Magnallium组织也在针对工控系统发动攻击，也被指和伊朗之间存在关联。Dragos是在火眼公司发布关于APT33组织的活动之后开始追踪该组织的。

　　虽然某些媒体报告认为APT33是工控系统和关键基础设施面临的严重威胁，但Dragos的调查显示该组织似乎并不具有任何和工控系统相关的能力。

　　Dragos公司表示，“虽然只有其中一个组织展示出能直接通过工控系统恶意软件影响工控系统网络的能力，但这些组织都至少参与了针对工控系统环境的侦察和情报收集活动。5大工业控制系统”该公司指出，这些组织在整年的活动中仍然保持相对稳定，而且该公司认为还发生了其它未知事件。

　　声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 。

　　2019年工业互联网试点示范项目名单公布，网络、平台、安全三大方向81个项目上榜！

　　Dragos发布的2019年度ICS漏洞态势报告，披露了438个影响工业控制系统（ICS）漏洞。

　　本文通过对态势感知的数据需求入手研究，结合当下的数据采集技术，对数据采集模块进行了设计，为工控网络态势…