全球175国和地区面临风险：14.5万个工控系统暴露于互联网中

据The 全球Hacker News消息
，攻击面管理公司 Censys 的国和工控分析发现
，有多达14.5万个工业控制系统 （ICS） 暴露于公开的地区互联网络中 ，涉及175 个国家和地区，面临仅美国就占总暴露量的风险三分之一以上 。

这些暴露指标来自几种常用工控系统协议，系统包括Modbus 、暴露IEC 60870-5-104、于互CODESYS、联网OPC UA 等。全球 Censys发现
，国和工控38% 的地区ICS暴露位于北美，35.4% 位于欧洲，源码库面临22.9% 位于亚洲，风险1.7% 位于大洋洲，系统1.2% 位于南美洲
，0.5% 位于非洲。其中 ，Modbus、S7 和 IEC 60870-5-104 在欧洲更广泛 ，而 Fox 、BACnet、ATG 和 C-more 在北美更常见 。这两个区域使用的一些工控系统服务包括 EIP
、FINS 和 WDBRPC。

Censys 联合创始人兼首席科学家 Zakir Durumeric 在一份声明中表示 ，许多暴露的工控协议其历史可以追溯到上世纪70年代，高防服务器但目前仍然是工业流程的基础，且没有像其他领域一样得到相应的安全改进 。

Censys 也发现 ，用于监控和与工控系统交互的人机界面（HMI）也越来越多地通过互联网支持远程访问 。 大部分暴露的人机界面位于美国，其次是德国 、加拿大 、法国、奥地利、意大利 、亿华云英国、澳大利亚、西班牙和波兰 。

有趣的是，大多数已识别的人机界面和 ICS 服务都位于移动或商业级互联网服务提供商 (ISP) ，如 Verizon、Deutsche Telekom 、Magenta Telekom 和 Turkcell 等。人机界面通常包含公司徽标或工厂名称，这有助于识别所有者和行业 ，但工控协议很少提供相同的信息 
，因此几乎无法识别和通知暴露的香港云服务器所有者 。 要解决这个问题 ，可能需要与托管这些服务的主要电信公司合作。

暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面，因此企业组织需要采取措施来识别并加以保护，包括更新默认凭证并监控网络是否存在恶意活动 。

专门针对工控系统的网络攻击相对较少 ，迄今为止仅发现了 9 种恶意软件。但自俄乌战争爆发以来，针对该系统的源码下载恶意软件攻击正有所增加 。一些比较典型的僵尸网络恶意软件利用 OT 网络的默认凭证 ，不仅实施了分布式拒绝服务 （DDoS） 攻击，还擦除了其中的数据
。

今年7月初，一家位于乌克兰的能源公司成为FrostyGoop恶意软件的目标，该恶意软件被发现利用 Modbus TCP 通信来破坏运营技术（OT）网络 。FrostyGoop也称为 BUSTLEBERM，是一种用 Golang 编写的 Windows 命令行工具 ，建站模板可导致公开暴露的设备出现故障，并最终导致拒绝服务 （DoS） 。 根据Censys 捕获的遥测数据，在 2024 年 9 月 2 日至 10 月 2 日的一个月内
，就有 1088175 台 Modbus TCP 设备暴露在互联网中。

去年，美国宾夕法尼亚州阿利基帕市水务局也因为暴露的Unitronics可编程逻辑控制器（PLC）而被黑客组织攻击，导致相关系统下线并被迫改为手动操作
。