工业控制系统在2025年第四季度面临日益增长的恶意软件、USB威胁

工业控制系统面临2025年第四季度日益增长的恶意软件和USB威胁

执行摘要

根据卡巴斯基工业控制系统网络应急响应小组（Kaspersky ICS CERT）的遥测数据，2025年第四季度全球工业控制系统（ICS）计算机中有33.3%被阻止了恶意对象。这些数据来自部署在这些系统上的卡巴斯基安全产品，表明通过互联网传输的威胁和通过可移动介质（主要是USB驱动器）传输的恶意软件仍然是最主要的感染途径。从可移动介质被阻止的ICS计算机份额增长到4.1%，突显了在运营技术（OT）环境中跨域数据传输的持续风险。

技术分析

基于卡巴斯基安全网络的数据，季度威胁态势报告汇总了全球分布的受公司产品保护的ICS计算机的检测结果。33.3%的数字代表了这些受保护系统中阻止恶意软件或脚本执行的百分比。虽然这比2025年第三季度的34%略有下降，但比率仍然居高不下，表明自动化和针对性攻击的持续不断。

感染的主要来源是互联网（系统8.1%）和可移动介质（4.1%）。互联网类别包括通过Web浏览器、电子邮件客户端以及从在线源下载文件的威胁。可移动介质向量从前一个季度增加，主要涉及用于在隔离的OT网络和企业IT环境或承包商系统之间传输文件的USB闪存驱动器。这为恶意软件，包括蠕虫和勒索软件，提供了绕过空气间隙的桥梁。

检测到的恶意软件类别包括间谍软件、勒索软件、网络钓鱼页面、矿机和后门。报告没有指明新出现的、以前未知的（零日）漏洞利用与已知漏洞利用的普遍性。持续的威胁水平表明攻击者继续成功利用未修补的系统、薄弱的网络分割和对可移动设备的不足安全政策。

入侵指标

目前没有识别出任何入侵指标。卡巴斯基报告提供了聚合统计遥测数据，并没有列出与活动相关的具体文件哈希值、域名或IP地址。

战术、技术与程序

威胁行为者继续依赖于既定的TTP来破坏工业环境。数据表明大量使用初始访问通过互联网（T1190）和可移动介质（T1091）。互联网威胁的普遍性表明正在进行的网络钓鱼活动（T1566）和针对工程师和操作员的即席攻击。可移动介质的使用指向了横向移动技术T1091，其中恶意软件被写入USB驱动器以在网络段之间传播。一旦建立，攻击者部署了一系列用于执行（TA0002）和外泄（TA0010）的有效载荷，包括间谍软件和后门。缺乏主导的新型恶意软件家族表明，重点在于商品恶意软件和可适应的工具，而不是复杂的、单一目的的ICS攻击。

威胁行为者背景

报告没有将活动归因于特定的命名威胁行为者或高级持续性威胁（APT）组织。全球性质和一致的检测量指向广泛的参与者，包括通过勒索软件和矿机追求经济利益的网络犯罪团伙，以及可能使用更有针对性的后门的间谍活动行为者。可移动介质的重要作用是针对空气间隙或分割不良的OT网络的威胁的标志，这是历史上由Triton（TEMP.Veles）和Industroyer2等团体使用的战术。然而，卡巴斯基的数据反映了所有恶意软件的聚合阻止，意味着很大一部分可能归因于广泛、非针对性的犯罪活动。

缓解措施与建议

组织应实施针对OT限制的深度防御策略。卡巴斯基ICS CERT建议采取技术和政策措施来对抗已识别的向量：

• 安全可移动介质： 实施严格的USB设备使用政策。部署专门的安全解决方案，用于扫描所有通过可移动介质传输到OT环境的文件。考虑应用白名单，以防止未经授权的可执行文件从可移动驱动器运行。
• 分割和保护网络边界： 确保企业IT和OT网络（ICS单元）之间的强大网络分割。在OT周边部署防火墙和入侵检测系统，以监控和控制流量。将ICS组件的互联网访问限制为仅严格必要的、白名单中的目标。
• 更新和补丁管理： 建立一个基于风险的程序，用于将安全更新应用于ICS组件，优先修补正在积极利用的关键漏洞，遵循供应商指导并在非生产环境中首先进行测试。
• 安全意识： 对工程师、操作员和承包商进行定期培训，了解OT安全政策，特别是网络钓鱼的风险以及正确处理可移动介质。
• 端点保护： 部署专为ICS计算机设计的专业安全解决方案，提供威胁检测和预防，而不干扰操作流程。