本期摘要：

国家/行业政策

• 工信部公布2022年工业互联网试点示范项目名单
• 国务院机构改革方案：组建国家数据局
• CISA建立勒索软件漏洞警告试点(RVWP)
• 美国数字制造和网络安全研究所发布《2023年战略投资计划》
• 美国采取行动保护供水系统免受网络攻击
• 智利提出安全计划确保地铁网络安全

行业发展动态

• 第四届国际工业信息安全应急大会在京召开
• 在推进新型工业化道路上需关注工业领域网络和数据安全
• 欧盟网络安全局发布交通运输行业威胁态势报告
• 卡巴斯基发布2022年下半年工业自动化系统的威胁态势报告

安全事件追踪

• “Bitter APT”黑客组织攻击中国核能行业
• Vice Society 声称袭击了波多黎各渡槽和下水道管理局
• 日立能源遭Cl0p勒索团伙攻击导致数据泄露
• 物流服务供应商LTS遭网络攻击，导致空客德国工厂部分停产
• 荷兰海运物流服务公司Royal Dowager遭Play勒索软件攻击
• 华盛顿州公共交通系统遭Lock Bit勒索软件攻击
• SYS01窃取程序瞄准关键的政府基础设施
• 宏碁数据泄露：黑客声称出售160GB的被盗数据

重要安全漏洞

• 北京亚控科技KingHistorian工业控制系统存在两个安全漏洞
• Ava修复工厂SCADA和Telemetry系统服务器漏洞
• PTC修复两个影响多款工业物联网产品的安全漏洞
• 攻击者正在探测边缘基础设施产品中的零日漏洞
• 西门子和施耐德3月修复了100多个影响其产品的安全漏洞

一、国家/行业政策

1、工信部公布2022年工业互联网试点示范项目名单

3月15日，工信部根据《工业和信息化部办公厅关于组织开展2022年工业互联网试点示范项目申报工作的通知》要求，经企业自主申报、地方推荐、专家评审和网上公示，确定并公布了2022年工业互联网试点示范项目名单，要求各省市相关单位及时梳理、总结、报送示范成效，加大示范推广力度，加强新模式应用宣贯，推动工业互联网高质量发展。

https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_c0c2291511d2488b842afde7b5f74ccf.html

2、国务院机构改革方案：组建国家数据局

党的二十届二中全会通过了《党和国家机构改革方案》，方案中提到要组建国家数据局，将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责，国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

http://www.gov.cn/xinwen/2023-03/11/content_5745977.htm

3、CISA建立勒索软件漏洞警告试点(RVWP)

3月13日，美国网络安全和基础设施安全局（CISA）宣布根据《关键基础设施网络事件报告法》授权建立勒索软件漏洞警告试点(RVWP)计划，将确定通常与已知勒索软件利用的相关漏洞，并警告具有这些漏洞的关键基础设施实体，从而在勒索软件事件发生之前实现缓解。

https://www.cisa.gov/news-events/news/cisa-establishes-ransomware-vulnerability-warning-pilot-program

4、美国数字制造和网络安全研究所发布《2023年战略投资计划》

据MxD官网3月6日消息，美国数字制造和网络安全研究所（MxD）发布《2023年战略投资计划》，旨在推进美国的数字制造和网络安全。2023年战略投资计划(SIP)概述了MxD未来三年的愿景、目标和优先事项。重点介绍了五个投资领域，包括设计、未来工厂、供应链、网络安全和劳动力发展，以及在每个领域的计划路线图。

https://www.mxdusa.org/sip/

5、美国采取行动保护供水系统免受网络攻击

美国正在采取措施，更好地保护公共饮用水和下水道系统免受可能会导致中断服务或污染水务系统的网络攻击。美国环境保护署3月3日发布了一份新备忘录，要求所有公共供水系统满足一系列基本的网络安全要求，同时还将网络安全审计作为定期安全检查的一部分。

https://www.voacantonese.com/a/us-cyber-water-20230303/6989718.html

6、智利提出安全计划确保地铁网络安全

智利圣地亚哥地铁近日提出“2023年运营安全计划”，包括五大要点，即加强安保、提升基建水平、清除涂鸦划痕、调整运营以及促进沟通，确保整个地铁网络安全。

http://www.legaldaily.com.cn/international/content/2023-03/20/content_8834483.html

二、行业发展动态

1、第四届国际工业信息安全应急大会在京召开

3月23日，第四届国际工业信息安全应急大会在北京召开。工信部网络安全局局长隋静表示，工信部从完善政策制度、提升服务能力、健全标准体系等方面持续推动工业领域网络安全工作，下一步将提升网络安全监测应急能力、推动分类分级管理落地见效、加强网络安全国际对话合作，开创工业领域网络安全工作新局面。

http://www.ce.cn/cysc/newmain/yc/jsxw/202303/24/t20230324_38460826.shtml

2、在推进新型工业化道路上需关注工业领域网络和数据安全

全国政协委员、国家工业信息安全发展研究中心主任赵岩，针对新型工业化带来的网络和数据安全新风险提出三点建议，一是在顶层设计上支持网络和数据安全产业创新发展，加大工信领域安全建设扶持力度；二是完善新型工业化网络和数据安全政策标准，督促工业企业落实网络和数据安全主体责任；三是提升国家级工业领域网络与数据安全保障能力，形成一体化威胁信息和风险协同处置体系。

https://mp.weixin.qq.com/s/WvG7Z0AyVb0NXaLeEm2dyQ

3、欧盟网络安全局发布交通运输行业威胁态势报告

3月21日，欧盟发布《ENISA运输部门威胁态势》报告，报告深入分析了欧盟交通运输部门的网络威胁形势，涵盖了2021年1月至2022年10月航空、海运、铁路和公路运输行业发生的安全事件。详细分析了交通部门面临的主要威胁、威胁行为者和相关动机。影响运输行业的主要威胁包括勒索攻击、数据相关威胁、恶意软件、DoS/DDos和RDos攻击、钓鱼攻击以及供应链攻击。勒索攻击已成为2022年该行业最突出的威胁，攻击次数几乎翻了一番，从2021年的13%上升到2022年的25%。而恶意软件从11%下降到6%，数据泄露从21%下降到9%。

https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape

4、卡巴斯基发布2022年下半年工业自动化系统的威胁态势报告

3月6日，卡巴斯基发布2022年下半年工业自动化系统威胁态势的分析报告。报告显示，全球受到攻击的ICS计算机的百分比为34.3%，略高于2022上半年（31.8%）。主要威胁来源是互联网（19.9%）、电子邮件客户端（6.4% ）和可卸除的设备（3.8%）。在全球不同地区，受到此类攻击最多的地区为非洲和中亚，占比40.1%。西欧和北欧是最安全的地区，分别为14.2%和14.3%。卡巴斯基在2022下半年在工业自动化系统上检测到来自7684个不同家族的恶意软件。

https://securelist.com/threat-landscape-for-industrial-automation-systems-for-h2-2022/108958/

三、安全事件追踪

1、“Bitter APT”黑客组织攻击中国核能行业

最近发现一个被追踪为“Bitter APT”的网络间谍黑客组织以中国核能行业为目标，使用网络钓鱼电子邮件感染带有恶意软件下载程序的设备。在最近的行动中，Bitter APT伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件，邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的，是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的，会执行一系列行动释放恶意载荷。

https://www.bleepingcomputer.com/news/security/bitter-espionage-hackers-target-chinese-nuclear-energy-orgs/

2、Vice Society 声称袭击了波多黎各渡槽和下水道管理局

3月26日，波多黎各渡槽和下水道管理局（PRASA）正在调查上周袭击该机构的网络攻击。袭击发生后，该机构迅速启动了事件响应程序。该攻击于3月19日被披露，威胁行为者可以访问客户和员工的信息。该机构将通过违约通知函通知受影响的客户和员工。该机构指出，该机构在波多黎各管理的关键基础设施的运营没有受到影响。目前，该机构尚未透露攻击背后的组织名称，但 Vice Society 勒索软件团伙已将权限添加到其 Tor 泄漏站点的受害者名单中。勒索软件团伙泄露了受影响个人的护照、驾照和其他文件。

https://securityaffairs.com/144022/hacking/puerto-rico-aqueduct-and-sewer-authority-attack.html

3、日立能源遭Cl0p勒索团伙攻击导致数据泄露

3月17日，日立能源发布声明称，Cl0p勒索软件团伙利用FORTRA GoAnywhere MFT（托管文件传输）中的零日漏洞CVE-2023-0669进行攻击，该攻击可能导致在某些国家/地区未经授权访问员工数据。

https://www.hitachienergy.com/news/features/2023/03/third-party-cybersecurity-incident

4、物流服务供应商LTS遭网络攻击，导致空客德国工厂部分停产

空中客车公司（AirBus）的物流服务提供商（LTS）近日遭到网络攻击，导致该公司位于德国诺登哈姆的工厂似乎已停止生产（至少部分停止生产）。报道显示，黑客通过LTS的系统网络发起勒索软件攻击，导致空客工厂的飞机部件被迫停产。黑客要求1500万欧元的赎金，空客方面并未就本次安全事件做出后续应对。

https://borncity.com/win/2023/03/10/cyber-attack-on-logistics-service-provider-production-at-german-airbus-site-nordenham-partially-affected/

5、荷兰海运物流服务公司Royal Dirkzwager遭Play勒索软件攻击

荷兰海运物流服务公司Royal Dirkzwager遭到勒索软件组织Play攻击，勒索软件组织公布了约5GB的失窃数据，包括个人数据、合同、员工ID、护照等，声称如不满足提出的勒索要求，将公布窃取的全部数据。该公司首席执行官琼·布拉斯表示，勒索软件攻击并未影响公司的运营。他证实，该组织已经从其基础设施中窃取了敏感数据。

https://therecord.media/royal-dirkzwager-ransomware-attack-dutch-shipping

6、华盛顿州公共交通系统遭LockBit勒索软件攻击

3月2日，华盛顿州公共交通运营商美国公司Pierce Transit证实，两周前的勒索软件攻击破坏了其部分系统。该公司称，攻击发生在2月14日，迫使该组织采取临时规避措施。勒索组织LockBit声称对此次攻击负责，该组织表示，在攻击中窃取了内部通信、保密协议、客户数据、合同等。并要求公司在2月28日之前支付赎金。Pierce Transit没有向攻击者支付赎金。

https://www.securitylab.ru/news/536721.php

7、SYS01窃取程序瞄准关键的政府基础设施

研究人员发现了一种新的高级信息窃取程序，称为SYS01窃取程序，自2022年11 月以来，该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。

https://securityaffairs.com/143162/cyber-crime/sys01-stealer-targets-critical-infrastructure.html

8、宏碁数据泄露：黑客声称出售160GB的被盗数据

总部位于台湾的大型全球科技公司宏碁公司 (Acer Inc.) 正面临来自名为“Kernelware”的黑客的潜在数据泄露。这名黑客声称对宏碁公司的一次重大数据泄露事件负责。据 Kernelware 称，所谓的违规行为发生在 2023 年 2 月中旬，导致大量敏感信息被盗，总计 160GB 的 655 个目录和 2869 个文件。3月7日，宏碁回应称检测到一起未经授权访问其维修技术人员文档服务器的事件，目前调查正在进行中，尚未发现任何消费者数据存储在该服务器上。

https://www.hackread.com/acer-data-breach-hacker-sell-data/

四、重要安全漏洞

1、北京亚控科技KingHistorian工业控制系统存在两个安全漏洞

研究人员在北京亚控科技KingHistorian工业控制系统(ICS)数据管理器中发现了两个漏洞，第一个为CVE-2022-45124，CVSS评分7.5，攻击者可以捕获身份验证数据包来获取目标用户的软件用户名和密码等信息。第二个为CVE-2022-43663，CVSS评分9.8，存在于软件的DLL中，可能允许攻击者发送恶意数据包来导致缓冲区溢出。该漏洞影响WellinTech KingHistorian =< 35.01.00.05版本。

https://blog.talosintelligence.com/vulnerability-spotlight-wellintech-ics-platform-vulnerable-to-information-disclosure-buffer-overflow-vulnerabilities/

2、Ava修复工厂SCADA和Telemetry系统服务器漏洞

英国工业软件制造商Ava发布安全更新修复其工厂SCADA和Telemetry系统服务器中的不当授权漏洞CVE-2023-1256，CVSS评分9.8，成功利用此漏洞可能允许未经身份验证的用户读取数据、导致拒绝服务并篡改警报状态。该漏洞影响Ava Plant SCADA 2023、Ava Plant SCADA 2020R2 Update 10 和所有之前版本。Ava Telemetry Server 2020 R2 SP1及所有之前版本。

https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-04

3、PTC修复两个影响多款工业物联网产品的安全漏洞

研究PTC 生产的多款工业物联网 (IIoT) 产品受两个严重漏洞CVE-2023-0754和CVE-2023-0755影响，CVSS评分9.8，可用于拒绝服务 (DoS) 和远程代码执行攻击。这两个漏洞影响多款产品，包括ThingWorx Edge MicroServer (EMS)、.NET SDK、Kepware KEPServerEX、ThingWorx Kepware Server、ThingWorx Industrial Connectivity 和 ThingWorx Kepware Edge。目前PTC已发布安全更新修复这些漏洞。

https://www.securityweek.com/critical-vulnerabilities-patched-in-thingworx-kepware-iiot-products/

4、攻击者正在探测边缘基础设施产品中的零日漏洞

对2022年零日攻击相关数据的分析表明，攻击者越来越多地探索边缘基础设施技术（包括VPN、防火墙和IT管理产品）中的安全漏洞。研究人员跟踪了2022年攻击者在各种恶意活动中利用的55个零日漏洞，发现其中10个涉及面向互联网的边缘设备。其中包括Sophos防火墙中的CVE-2022-1040和CVE-2022-3236，Cisco IOS中的CVE-2022-20821，Fortinet的FortiOS中的CVE-2022-42474和CVE-2022-41226，Zoho ManageEngine中的CVE-2022-288810 ，以及 SolarWinds Serv-u 中的 CVE-2022-35247。

https://www.darkreading.com/attacks-breaches/attackers-probing-zero-day-vulns-edge-infrastructure

5、西门子和施耐德3月修复了100多个影响其产品的安全漏洞

西门子发布了7条新公告，共涉及92个漏洞。绝大多数是通过使用第三方组件而不是特定于西门子产品引入的。例如，影响 Linux 内核、Busybox、OpenSSL 和 OpenVPN 等组件的 65 个漏洞已在 Ruggedcom 和 Scalance 产品中得到修补。利用这些缺陷可能导致拒绝服务 (DoS) 情况或代码注入。除了影响第三方组件的漏洞外，西门子还向客户通报了影响 Mendix SAML 模块的关键身份验证绕过问题。西门子还向客户通报了影响 Mendix SAML 模块的关键身份验证绕过漏洞， Ruggedcom Crossbow 设备中的权限升级、信息泄露和 SQL 注入漏洞。

施耐德电气发布了3条新公告，共涉及10个漏洞。1）描述了PowerLogic 功率计中的一个严重漏洞。可被用于 DoS 攻击或远程代码执行。2）描述了在 IGSS SCADA 产品中发现的八个安全漏洞。IGSS 的各个模块都受到 DoS 和远程代码执行问题的影响，这些问题的严重性等级被指定为“高”和“中”。3）通知用户有关影响 EcoStruxure Power Monitoring Expert 产品的会话劫持问题。

https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-100-vulnerabilities/