4月13日，美国网络安全和基础设施安全局CISA、能源部DOE、国家安全局NSA和联邦调查局FBI联合发布了针对APT攻击者利用定制网络攻击软件获取ICS/SCADA系统完全网络访问权限的预警公告。该公告称某些APT攻击者使用定制网络攻击工具，已经针对多个ICS/SCADA系统开展定制网络攻击，获取了相关系统的完全网络访问权限。

这些ICS/SCADA设备包括：施耐德电气的MODICON和MODICONNanPLC（可编程控制器），包括但不限于TM251、TM241、M258、M238、LMC058和LMC078等系列PLC；欧姆龙SysmacNJ系列和NX系列PLC，包括但不限于NEXNX1P2、NX-SL3300、NX-ECC203、NJ501-1300、S8VK和R88D-1SN10F-ECT系列PLC；OPC统一架构(OPCUA)服务器。

APT攻击者使用的定制攻击软件采用模块化架构，使网络攻击者能够对目标设备进行高度自动化的攻击。这些软件有一个与目标ICS/SCADA设备控制界面类似的虚拟控制界面，使软件能与目标设备交互，即使低级别网络攻击者也能发起高级攻击。

APT攻击者还可以利用软件模块对目标设备进行扫描，侦查获取设备详细信息，并将恶意配置或代码上传到目标设备。通过ICS/SCADA设备的系统访问权限，APT攻击者可以提升权限，在工业控制网络环境中横向移动，破坏关键设备及其功能，从而对关键基础设施网络造成网络破坏或其他物理破坏。

此外，DOE、CISA、NSA和FBI敦促关键基础设施组织，尤其是能源部门组织，采取预警中提供的检测和应对建议，以检测潜在的恶意APT活动并强化其ICS/SCADA设备安全。

美国四大政府机构联合发布APT攻击者针对ICS/SCADA设备及系统定制化网络攻击的预警公告，可见美国政府对其工业控制网络及数据采集检测系统的网络安全高度重视，以及对相关网络攻击可能带来关键基础设施遭破坏结果的担忧。美国网络司令部此前就曾组织“HackThePort”网络安全演习。美国政府多次针对工业控制网络中的重要基础系统网络安全发出警告，表明美国相关基础设备的使用影响范围广，以及攻击可能造成的关键基础设施影响大。

本次预警的是APT攻击者对工控网络系统的模块化定制攻击，表明相关APT组织已经充分认识到控制破坏工控系统网络，可将网络虚拟世界破坏外化于现实世界，取得实际的破坏效果。通过开发模块化网络攻击工具，可极大提高对工控网络的攻击效率，取得理想的战果。美国四大政府机构的警告，也为我们敲响了警钟！

当前，包括关键基础设施网络在内的工业控制系统网络安全已经摆在突出位置，但工业系统网络安全仍未引起重视，仍然存在较大的漏洞。过去那种认为只要物理隔离就不会造成网络入侵的思想观念必须摒弃，否则就会重演伊朗铀浓缩离心机被攻击事件。工业系统网络乃至物联网是未来发展趋势，在发展的初期就重视网络安全，同步规划同步建设，可有效避免走弯路、摔跟头。