根据卡巴斯基工业控制系统网络紧急应变小组(ICS CERT)发布的2025第一季《工业自动化系统威胁形势》报告指出,当前ICS工控系统面临三大主要安全威胁,其中以来自网络的威胁最为严重,其次是电子邮件与便携式存储设备。
研究结果显示,2025年第一季全球有21.9%的ICS计算机曾遭到黑客封锁式恶意攻击活动,尽管企业持续加码网安投资,但这个数字仍然保持不变。区域上的差异更描绘出一幅令人担忧的画面,非洲受影响的系统比例最高,达29.6%,东南亚紧随其后(29.1%),北欧的比例(10.7%)最低。这些数字的差异突显了各区域在安全成熟度与基础设施防护方面的重大落差。
卡巴斯基分析师指出,网际网络威胁主要以限制访问的网站资源、恶意脚本、钓鱼页面、网络挖矿工具与间谍软件的形式出现,以便在ICS计算机对外连接时,利用系统漏洞加以入侵。此外,攻击者的手法也日益复杂,他们会利用分布在遭劫持网站上的C&C主控基础设施以及内容传送网络(CDN)来散播恶意封包负载。
在所监测的系统中,尤以非洲遭遇了最集中的网际网络攻击,比例高达12.76%,其次是东南亚(12.32%),南亚占了10.83% 。俄罗斯在本季度的网络威胁增幅最大,增长了1.29个百分点;中亚则增加了1.04个百分点。
黑客先以JavaScript侦察工具搜集系统资讯,再下载植入恶意封包负载
技术分析显示,网络犯罪者会利用遭入侵的合法网站与CDN,来规避传统的安全防线。这些攻击通常会诱使员工访问看似无害的web资源,但这些网站早已被植入恶意脚本,以便能搜集不同工业系统的基本数据,并创建持久的访问渠道。
恶意程序的部署过程通常采用多阶段感染手法,初期通过以JavaScript为基础的侦察工具来搜集系统资讯,后续再下载恶意封包负载。攻击者还会锁定过时的内容管理系统(CMS),研究人员就曾观察到新一波的攻击,专门锁定使用过时ASPRO模板(适用于Bitrix CMS平台)打造的网站。这些遭入侵的网站最终沦为攻击待命区,以便将基于浏览器的恶意软件或恶意可执行文件传播至工业环境里。
该报告并披露当前攻击链有越来越常使用无文件执行(fileless execution)技术的趋势,攻击者常将PowerShell脚本嵌入至表面上合法的文件捷径中,以便直接在系统内存里执行恶意加密货币挖矿程序代码。此手法有助于攻击者躲避以特征码为基础的传统侦测机制,并在通常缺乏全面端点监控能力的工业网络中维持潜伏状态。
(首图来源:shutterstock)
