本期摘要

国家/行业政策

• 工业和信息化部等十六部门关于促进数据安全产业发展的指导意见
• 中国信通院发布《网络立法白皮书（2022年）》
• 深圳市发改委发布《深圳市支持电化学储能产业加快发展的若干措施（征求意见稿）》

行业发展动态

• CISA更新了用于ICS的MITRE ATT&CK专注于对抗性策略和破坏工业控制过程的技术
• 我国移动物联网连接数占全球70%
• “谛听”发布2022年工业控制网络安全态势白皮书
• Hive勒索软件团伙的基础设施被FBI成功接管
• 超过三分之一的ICS漏洞仍没有可用补丁

安全事件追踪

• BlackCat勒索软件团伙窃取了一家工业炸药制造商的秘密军事数据
• 加拿大努纳武特能源供应商遭网络攻击导致运营中断
• 挪威船级社（DNV）遭勒索软件攻击影响了全球1000艘船只
• 巴基斯坦遭遇全国停电疑似网络攻击引起
• 尼日利亚石油天然气行业联合系统遭网络攻击导致数据泄露
• 铁路巨头Wabtec在勒索软件攻击后披露数据泄露
• 乌克兰IT军队声称从俄罗斯天然气工业股份公司获得了1.5GB的存档
• 亲巴勒斯坦黑客威胁以色列化学公司
• GhostSec黑客组织宣称首次使用勒索软件加密了RTU设备

重要安全漏洞

• Lexmark存在严重漏洞影响超过120种打印机型号
• InHand工业路由器存在多个安全漏洞
• 西门子和施耐德1月修复了27个影响其产品的安全漏洞

01国家/行业政策

1、工业和信息化部等十六部门关于促进数据安全产业发展的指导意见

1月13日，工业和信息化部、网信办、发展改革委等十六部门印发关于促进数据安全产业发展的指导意见。提到数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态。为贯彻落实《中华人民共和国数据安全法》，推动数据安全产业高质量发展，提高各行业各领域数据安全保障能力，加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础，制定本意见。

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e92c30f708884a3db7a77e135682ea8b.html

2、中国信通院发布《网络立法白皮书（2022年）》

1月13日，中国信通院互联网法律研究中心在北京举办第六届互联网法律研讨会。会上，中国信通院发布了《网络立法白皮书（2022年）》，中国信通院互联网法律研究中心高级研究员刘耀华对白皮书内容进行了深度解读。白皮书确立了“3+1”的网络立法框架，全面梳理了2022年国内外网络立法情况，同时结合发展现状对网络立法趋势进行展望。

https://mp.weixin.qq.com/s/gbfVCag31Kli3XJaEIfV2A

3、深圳市发改委发布《深圳市支持电化学储能产业加快发展的若干措施（征求意见稿）》

深圳市发改委就《深圳市支持电化学储能产业加快发展的若干措施（征求意见稿）》公开征求社会公众意见。意见稿提出，对符合条件的储能电池国际总部、区域总部企业，可给予落地奖励1000万元，重点引进的特别重大企业，可在与市政府签订合作协议时另行约定。针对钠离子电池、镁离子电池、全固态锂电池等前沿重点领域开展关键技术攻关，单个项目予以最高1000万元支持。

https://baijiahao.baidu.com/s?id=1755519806765479741&wfr=spider&for=pc

02行业发展动态

1、CISA更新了用于ICS的MITRE ATT&CK专注于对抗性策略和破坏工业控制过程的技术

2023年1月，美国网络安全和基础设施安全局(CISA)与国土安全系统工程与开发研究所(HSSEDI)合作更新了MITRE ATT&CK映射的最佳实践。新版本涵盖了常见的分析偏差、映射错误以及针对工业控制系统(ICS)的特定ATT&CK映射指南。MITRE ATT&CK for ICS侧重于对手的战术和技术，其主要目标是破坏工业控制过程，包括监控和数据采集(SCADA)系统以及其他控制系统配置。

https://industrialcyber.co/vulnerabilities/cisa-mitre-attck-for-ics-focuses-on-adversarial-tactics-techniques-disrupting-industrial-control-process/

2、我国移动物联网连接数占全球70%

工业和信息化部日前发布数据显示，我国移动物联网用户规模快速扩大，截至2022年底，连接数达18.45亿户，比2021年底净增4.47亿户，占全球总数的70%。随着应用场景不断丰富，产业链持续完善。我国已形成涵盖芯片、模组、终端、软件、平台和服务等环节的较为完整的移动物联网产业链。窄带物联网已形成水表、气表、烟感、追踪类4个千万级应用，白电、路灯、停车、农业等7个百万级应用。移动物联网终端应用于公共服务、车联网、智慧零售、智慧家居等领域的规模分别达4.96亿、3.75亿、2.5亿和1.92亿户，行业应用正不断向智能制造、智慧农业、智能交通、智能物流以及消费者物联网等领域拓展。

https://mp.weixin.qq.com/s/YKW8ynTNmxQMPaAIbYb-GA

3、“谛听”发布2022年工业控制网络安全态势白皮书

东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（https://www.ditecting.com），并根据“谛听”收集的各类安全数据，撰写并发布了2022年工业控制网络安全态势白皮书，读者可以通过报告了解2022年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据等情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全的相关人员提供参考。

https://mp.weixin.qq.com/s/bNObiUOJ9jstL98q5Pa5pA

4、Hive勒索软件团伙的基础设施被FBI成功接管

2023年1月26日，美国司法部和欧洲刑警组织共同宣布，在2022年7月秘密渗透了Hive勒索软件团伙的基础设施。经过长达6个月的渗透，FBI成功接管了Hive勒索软件团伙在Tor网络上用于支付和数据泄露的站点，同时还破获了其解密密钥并向全球300多名受害者提供了解密密钥，阻止了大约1.3亿美元或相当于1.2亿欧元的赎金支付。

https://gbhackers.com/fbi-hacks-back-hive-ransomware/

5、超过三分之一的ICS漏洞仍没有可用补丁

最新研究显示，2022年下半年发布的工业控制系统(ICS)中有35%的CVE仍然没有可用的补丁，这让工业控制系统运营商对对他们的供应商感到失望。研究人员分析了2022年下半年通过网络安全和基础设施安全局(CISA)ICS咨询报告的926个CVE后发现，ICS资产所有者不得不应对已发布的CVE的增加，而且在许多情况下，他们的系统由于缺乏供应商更新而暴露在外。SynSaber认为，延迟通常是由于原始设备制造商(OEM)供应商通常有严格的补丁测试、批准和安装流程。

https://www.infosecurity-magazine.com/news/over-third-recent-ics-bugs-no/

03安全事件追踪

1、BlackCat勒索软件团伙窃取了一家工业炸药制造商的秘密军事数据

BlackCat勒索软件团伙将SOLAR INDUSTRIES INDIA添加到其Tor泄露网站上公布的受害者名单中。该公司是全球公认的工业炸药制造商，提供完整的爆破解决方案，包括包装、散装炸药和起爆系统，以满足全球客户的需求。BlackCat勒索软件组织声称已经攻破了该公司的基础设施，并窃取了2TB的数据，包括与武器生产有关的秘密军事数据。数据泄露影响到公司的所有产品和机密文件。这些数据包括工程规格、图纸、许多武器的审计等。

https://securityaffairs.com/141409/data-breach/blackcat-ransomware-solar-industries-india.html

2、加拿大努纳武特能源供应商遭网络攻击导致运营中断

加拿大努纳武特地区的Qulliq能源公司（QEC）遭到广泛的网络攻击，使该公司的行政办公室陷入瘫痪。该公司官员表示，攻击始于1月15日，虽然发电厂仍在正常运行，但该公司客户服务和行政办公室的计算机系统不可用。该公司不接受通过信用卡支付账单，但客户可以使用现金或通过银行转账支付。QEC首席执行官表示，该公司在得知潜在问题后立即启动了响应计划。该公司仍在努力确定哪些信息可能在攻击中被盗或被访问。

https://therecord.media/cyberattack-on-nunavut-energy-supplier-limits-company-operations/

3、挪威船级社（DNV）遭勒索软件攻击影响了全球1000艘船只

1月16日，挪威船级社（DNV）发布公告称，其船队管理软件ShipManager在1月7日晚上遭到网络攻击并被迫关闭该软件的服务器，DNV表示，这次网络攻击属于勒索软件攻击，总计约有1000艘船受影响。

https://www.bankinfosecurity.com/ransomware-attack-affects-1000-vessels-worldwide-a-20939

4、尼日利亚石油天然气行业联合系统遭网络攻击导致数据泄露

威胁行为者攻击了尼日利亚石油和天然气行业内容联合系统（nogicjqs.gov.ng），并将其数据发布在黑客论坛上，发布的样本图片中包含备份和MySQL数据。据了解，NOGIC JQS网站提供的服务包括尼日利亚石油和天然气行业的承包商注册、船舶注册、国家技能发展数据库、海洋支持供应商分类、外籍人士配额申请管理、招标管理等。

https://thecyberexpress.com/nigerian-oil-gas-sector-hackers-target-nogic/

5、巴基斯坦遭遇全国停电疑似网络攻击引起

当地时间1月23日，巴基斯坦遭遇全国停电，地方当局正在调查原因并怀疑这是网络攻击引起的结果。停电影响了巴基斯坦所有主要城市。该国能源部长在新闻发布会上告诉记者，这起事件“极有可能”是由黑客造成的，巴基斯坦各地的电力已在24小时内完全恢复，总理Shehbaz Sharif成立了一个委员会来调查导致停电的原因。

https://securityaffairs.com/141288/hacking/pakistan-nationwide-power-outage.html

6、铁路巨头Wabtec在勒索软件攻击后披露数据泄露

美国铁路和机车公司Wabtec公司披露了一起敏感数据泄露事件。Wabtec是一家总部位于美国的上市公司，生产最先进的机车和轨道系统。Wabtec在年底发布的公告中表示，黑客早在2022年3月15日就侵入了他们的网络，并在特定系统上安装了恶意软件。6月26日，Wabtec在其网络上检测到了异常活动，并开始调查此次攻击。几周后，LockBit公布了从Wabtec窃取的数据样本，并最终在2022年8月20日泄露了所有被盗数据。目前，该公司已对所有受影响的个人发送通知，但未披露受此事件影响的确切人数。

https://www.bleepingcomputer.com/news/security/rail-giant-wabtec-discloses-data-breach-after-lockbit-ransomware-attack/

7、乌克兰IT军队声称从俄罗斯天然气工业股份公司获得了1.5GB的存档

乌克兰IT军队声称已经访问了属于俄罗斯国家控制的能源巨头俄罗斯天然气工业股份公司的1.5 GB文件存档。据他们介绍，该档案包含俄罗斯天然气工业股份公司集团公司关于金融和经济活动的6,000多份文件，即关于科维克廷斯基井（伊尔库茨克地区）自动化系统的测试和钻探，实施和调整的报告，该井被认为是俄罗斯最大的气田之一。

https://cybernews.com/news/it-army-of-ukraine-hacked-gazprom/

8、亲巴勒斯坦黑客威胁以色列化学公司

威胁行为者发起了针对在被占领土上经营的以色列化学公司的大规模黑客活动。一个名为“电子圣城旅”（Electronic Quds Force）的组织正在威胁公司的工程师和工人辞职。黑客声称能够干扰化学公司的工厂的运营，可能导致人员伤亡。

https://securityaffairs.com/141609/cyber-warfare-2/cyber-attacks-israeli-chemical-companies.html

9、GhostSec黑客组织宣称首次使用勒索软件加密了RTU设备

匿名者组织旗下的GhostSec黑客组织声称它对RTU（远程终端单元）进行了“有史以来第一次”勒索软件攻击，RTU是一种通常部署在工业控制系统 (ICS) 环境中的小型设备。
https://industrialcyber.co/industrial-cyber-attacks/hacker-group-discloses-ability-to-encrypt-an-rtu-device-using-ransomware-industry-reacts/

04重要安全漏洞

1、Lexmark存在严重漏洞影响超过120种打印机型号
1月23日，Lexmark发布安全公告，修复了Lexmark产品中的一个服务器端请求伪造漏洞CVE-2023-23560(CVSSv3评分：9.0)，该漏洞影响了超过120种打印机型号，包括B、C、CS、CX、M、MB、MC、MS、MX、XC和XM系列打印机。成功利用该漏洞可在设备上执行任意代码。目前该漏洞已经修复，受影响用户可及时升级到相应修复版本。

https://www.securityweek.com/critical-vulnerability-impacts-over-120-lexmark-printers/

2、InHand工业路由器存在多个安全漏洞
本月，CISA发布了一份(ICS)咨询，通报了InHand的InRouter302和InRouter615蜂窝路由器中的五个漏洞，分别为敏感信息的明文传输CVE-2023-22597(CVSSv3评分：6.5)、操作系统命令注入CVE-2023-22598(CVSSv3评分：7.2)、使用具有可预测盐的单向哈希CVE-2023-22599(CVSSv3评分：7.0)、不正确的访问控制CVE-2023-22600(CVSSv3评分：10.0)、使用不充分的随机值CVE-2023-22601(CVSSv3评分：5.3)。成功利用这些漏洞可能允许消息队列遥测传输(MQTT)命令注入、敏感设备信息的未授权泄露以及远程代码执行。如果链接得当，这些漏洞可能会导致未经授权的远程用户完全破坏云可访问的每个云管理的InHand Networks设备。

https://www.cisa.gov/uscert/ics/advisories/icsa-23-012-03

3、西门子和施耐德1月修复了27个影响其产品的安全漏洞

西门子发布了6条新公告，共修复了20个漏洞。其中包括Sinec INS中的十几个漏洞、Mendix SAML模块中的一个严重的跨站点脚本漏洞、Automation License Manager中两个高危漏洞，一个允许未经身份验证的攻击者远程进行重命名和移动文件，另一个漏洞允许黑客远程执行代码。西门子还通报了JT Open Toolkit、JT Utilities和Solid Edge中的远程代码执行漏洞、S7-1500 漏洞，攻击者可以通过物理方式访问设备来替换启动映像并执行任意代码。

施耐德电气发布了6条新公告，涵盖7个漏洞。最严重的漏洞存在于EcoStruxure Geo SCADA Expert产品中，黑客可以通过该漏洞进行DoS攻击，获取敏感信息。

https://www.securityweek.com/2023-ics-patch-tuesday-debuts-12-security-advisories-siemens-schneider/