工业控制系统安全威胁白皮书2025

工业控制系统安全威胁白皮书2025 工业控制系统安全威胁白皮书 IndustrialControlSystemThreats-2025 目录 前言........................................................................................................................I 1、美国NSA长期渗透并攻击中国科学院国家授时中心.......................32、人工智能驱动的信息窃取程序LameHug攻击乌克兰组织...............63、ESET发现首个人工智能驱动的勒索软件PromptLock......................84、黑客入侵挪威大坝并将大坝阀门完全打开.........................................95、伊朗攻击以色列城市监控系统为导弹打击提供支持.......................116、Lab-Dookhtegan黑客组织攻击伊朗卫星网络导致伊朗船只失联...127、IDS组织攻击乌克兰电力SCADA.....................................................148、StickyWerewolf黑客组织攻击俄罗斯的科研和生产企业...............169、蔓灵花APT组织借克什米尔冲突对巴基斯坦电信系统发起攻击..1710、阿联酋关键基础设施遭受多语言恶意软件攻击.............................19 三、2025工业控制系统的安全漏洞分布........................................................22 （1）漏洞的类型和数量...................................................................26（2）漏洞的厂商分布.......................................................................27（3）漏洞的危害统计.......................................................................28（4）漏洞的产品分布.......................................................................30 1、工业软件通用组件发现系列高危漏洞...............................................312、工业控制系统“最强”隔离措施网闸发现系列高危漏洞...............333、AI&渗透测试，自动渗透机器人前瞻性技术研究.............................36 1、《中华人民共和国网络安全法》（2025修正版）........................392、《网络关键设备安全技术要求可编程逻辑控制器（PLC）》....40 3、《国家网络安全事件报告管理办法》.............................................404、《工业领域数据安全风险评估规范》.............................................405、《2025年工业和信息化标准工作要点》........................................416、《网络安全技术信息安全管理体系要求》.................................41 前言 2025年国际地缘政治冲突此起彼伏，在俄乌冲突、伊以冲突以及印巴冲突中，双方在物理空间激烈对抗的同时，日益重视对工业控制系统网络空间领域的攻击。针对工业控制系统的网络攻击不仅导致了关键信息基础设施的损毁，而且正成为支持物理空间军事行动的重要手段。通过对工业控制系统网络空间的入侵，攻击者可以实时掌握物理空间的打击效果，利用这些反馈来辅助调整物理空间的打击策略，实现更好的打击效果。 随着以大语言模型为代表的人工智能技术的突破和普及，人工智能正以前所未有的速度深刻影响着各行各业。在工业控制系统网络安全领域，人工智能正逐步从攻击者的辅助工具演变为支持全流程自动化攻击的关键手段。一些恶意软件通过内置的大语言模型基于特定的目标快速生成高度定制化的攻击代码，这类攻击带来的挑战尤为严峻：由于攻击代码是在获取目标信息后动态生成，而非预先嵌入恶意软件中，传统依赖特征码匹配的防御机制难以提前识别和阻断，从而显著降低了现有防护体系的有效性。 面对日益严峻的网络安全环境，需要政府、企业和行业组织共同构建全方位的防御体系。2025年10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，正是应对当前的网络环境从法律层面做出的重要调整。企业应密切关注工业控制系统相关的标准和政策，结合企业的系统环境制定具有针对性的安全防护策略。 当前工业控制系统面临的攻击环境日益复杂，在人工智能的加持下，攻击者构建攻击工具的时间大大缩短，新型攻击思路的验证效率显著提高，进一步加剧了安全威胁。迫切需要企业重视安全防御体系建设，降低企业面临的安全风险。 一、概述 随着人工智能技术的日益成熟与广泛应用，2025年工业控制系统安全面临着新的挑战，传统的勒索软件、供应链攻击和网络钓鱼等攻击方式，在人工智能技术的支持下，展现出更高的自动化水平和攻击效率，持续威胁工业控制系统安全。另一方面，国际地缘政治冲突此起彼伏，俄乌冲突、印巴冲突以及伊以冲突等更是将工业控制系统作为重点攻击对象。这背后的原因在于工业控制系统已经被广泛应用到关键基础设施的核心控制层，其安全性直接影响着国民经济、公共安全和社会稳定。因此，在针对工业控制系统安全的防御上，引入新的防御理念并建立健全政策法规是保障工业控制系统安全的重要基石。总结2025年工业控制系统的安全趋势，不难发现以下特点。 （1）攻击者不仅追求对关键基础设施的实际毁伤，也越来越重视攻击所引发的舆论影响。针对一些大型的国际公开赛事的攻击，或者散布一些针对关键基础设施的攻击谣言。在攻击成功的情况下，攻击方会刻意放大事件引发公众恐慌，以加剧社会心理冲击；即便攻击并未发生，仅通过制造和传播谣言，也能在冲突的关键时期扰乱舆论、动摇公众信心，进而诱发社会动荡。 （2）生成式AI在攻防两端扮演了关键角色。在攻击侧，攻击者正利用生成式AI快速编写针对特定工控协议（如Modbus,S7comm）的恶意代码，甚至生成高度逼真的钓鱼邮件以突破OT人员的防线，极大提高了攻击的效率。在防御侧，基于AI的异常检测将成为标配，它能学习工厂正常的流量基线，一旦出现细微的异常操作指令，AI能比人类更快地发出预警并阻断。 （3）2025年的攻击事件更具物理破坏性。攻击者试图夺取HMI（人机界面）的控制权，通过修改界面参数、关闭安全联锁系统或利用过热导致设备物理损坏等方式对控制系统进行破坏。 （4）地缘政治驱动的APT攻击常态化。能源、水利、交通等关键信息基础设施已成为现代混合战争的首选目标。国家级APT组织更频繁地潜伏在关键工控网络中。他们使用“寄生攻击”技术，利用系统自带的合法工具进行破坏，极难被发现。2025年，针对电网调度、天然气管道和港口物流系统的预置性攻击探 测显著增加，其目的可能不是立即破坏，而是建立长期的战略威慑能力。 （5）工业控制系统安全漏洞依然是企业面临的一个巨大安全隐患。从2025年的工控安全事件和漏洞统计中不难发现，系统漏洞为攻击者提供了高效的入侵途径。工业控制系统的漏洞普遍存在更新补丁不及时的情况，攻击者一旦掌握了系统漏洞的利用方式，会给工业企业带来严重威胁。 二、2025典型工控安全事件回顾 2025年工业控制系统面临的攻击依然源源不断，这些攻击活动涉及到能源、炼化、电力、水务、交通等行业的基础设施。相比于2024年，2025年的攻击事件呈现出了一些新的特征。首先，攻击者不仅关注攻击事件对企业造成的实质影响，同时也注重攻击事件所带来的舆论影响。在巴基斯坦声称针对印度的电网攻击中，尽管遭到印度的否认，但舆论影响巨大。其次，针对工业控制系统的攻击越来越多地服务于国家和地区间的地缘冲突，扩大了冲突双方的对抗空间，进一步凸显了工业控制系统安全的重要性。最后，随着人工智能的进一步发展和成熟，其在工业控制系统攻击中的应用也愈发广泛，它提高了攻击的效率，同时给防御带来了新的挑战。 这些攻击事件给相关的工业企业带来了巨大的安全威胁。本文选取了2025年具有代表性的工业控制系统安全事件，这些事件集中反映了当前主要的攻击趋势。通过对攻击过程及其影响的简要分析，旨在提升工业企业对工业控制系统安全风险的认知，推动其加强防护体系建设，切实应对日益复杂的网络威胁环境。 1、美国NSA长期渗透并攻击中国科学院国家授时中心 2025年10月，中国国家安全机关披露并确认了一起针对国家关键信息基础设施——中国科学院国家授时中心（以下简称“授时中心”）的重大网络间谍活动。经国家互联网应急中心（CNCERT）深度溯源分析，确认该攻击行动由美国国家安全局（NSA）策划并实施。此次攻击活动呈现出长期性、隐蔽性及高度针对性的特征。攻击者利用“三角测量”行动窃取移动终端凭证作为突破口，进而渗透内部计算机网络，部署多达42款定制化网络攻击武器，构建起多层加密的隐蔽通信隧道，意图对高精度地基授时导航系统等国家级战略科技设施进行渗透与破坏。 攻击活动的时间跨度长达两年以上，可划分为四个核心阶段： 初始突破与凭证窃取（2022.03-2023.04）：攻击者首先利用某国外品牌手机的短信服务漏洞，对授时中心10余名关键岗位人员实施秘密监控，非法窃取通讯录、短信及位置信息。随后，通过内网管理员手机中的登录凭证，成功获取办公计算机的远程控制权限。 据点建立与环境探测（2023.04-2023.08）：在获取初步权限后，攻击者利用匿名通信网络（Tor等）作为掩护，在非工作时间（凌晨）多次远程登录受控终端。以此为跳板，对授时中心的内部网络拓扑、业务系统架构进行深度刺探，为后续大规模渗透做准备。 武器植入与持久化（2023.08-2024.03）：攻击者开始在网管计算机上部署名为“Back_eleven”的早期版本隧道工具。为规避检测，攻击者采取了极为谨慎的“即用即清”策略，每次操作结束后均清除内存驻留痕迹，并在运行前强制关闭目标主机的杀毒软件。 全面渗透与横向移动（2024.03-2024.06）：随着攻击深入，NSA针对授时中心的特定网络环境，定制开发并投送了包括“eHome_0cx”（前哨控守）、“Back_eleven”（隧道搭建）及“New_Dsz_Implant”（数据窃取）在内的新型武器组件。攻击者构建了四层嵌套加密隧道，并以此为跳板成功横向移动至上网 认证服务器及防火墙等核心网络设备，实施了大规模数据窃取。 技术取证显示，本次攻击使用了高度模块化的先进网络攻击武器库，主要技术特征如下： 高度同源性：核心数据窃取工具“New-Dsz-Implant”在代码结构、功能模块命名及实现逻辑上，与NSA此前被曝光的“DanderSpritz”（怒火喷射）武器平台存在高度同源性，但在反取证与免杀能力上进行了显著升级。 隐蔽控守技术：“eHome_0cx”模块通过DLL劫持技术寄生于系统正常服务（如资源管理器），并在运行时抹除PE头信息以对抗内存取证。其通信采用RSA公钥加密与TLS协议结合的方式，确保指令交互的机密性。 多层嵌套加密隧道：为突破流量审计，攻击者设计了复杂的通信链路。通过“New-Dsz-Implant”与“Bac