国利网安——工业控制系统安全威胁白皮书2025_48页_5mb.pptxVIP

;工业控制系统安全威胁白皮书;;;;工业控制系统安全威胁白皮书;工业控制系统安全威胁白皮书

测显著增加，其目的可能不是立即破坏，而是建立长期的战略威慑能力。

（5）工业控制系统安全漏洞依然是企业面临的一个巨大安全隐患。从2025年的工控安全事件和漏洞统计中不难发现，系统漏洞为攻击者提供了高效的入侵途径。工业控制系统的漏洞普遍存在更新补丁不及时的情况，攻击者一旦掌握了系统漏洞的利用方式，会给工业企业带来严重威胁。;工业控制系统安全威胁白皮书

二、2025典型工控安全事件回顾

2025年工业控制系统面临的攻击依然源源不断，这些攻击活动涉及到能源、炼化、电力、水务、交通等行业的基础设施。相比于2024年，2025年的攻击事件呈现出了一些新的特征。首先，攻击者不仅关注攻击事件对企业造成的实质影响，同时也注重攻击事件所带来的舆论影响。在巴基斯坦声称针对印度的电网攻击中，尽管遭到印度的否认，但舆论影响巨大。其次，针对工业控制系统的攻击越来越多地服务于国家和地区间的地缘冲突，扩大了冲突双方的对抗空间，进一步凸显了工业控制系统安全的重要性。最后，随着人工智能的进一步发展和成熟，其在工业控制系统攻击中的应用也愈发广泛，它提高了攻击的效率，同时给防御带来了新的挑战。

这些攻击事件给相关的工业企业带来了巨大的安全威胁。本文选取了2025年具有代表性的工业控制系统安全事件，这些事件集中反映了当前主要的攻击趋势。通过对攻击过程及其影响的简要分析，旨在提升工业企业对工业控制系统安全风险的认知，推动其加强防护体系建设，切实应对日益复杂的网络威胁环境。

1、美国NSA长期渗透并攻击中国科学院国家授时中心

2025年10月，中国国家安全机关披露并确认了一起针对国家关键信息基础设施——中国科学院国家授时中心（以下简称“授时中心”）的重大网络间谍活动。经国家互联网应急中心（CNCERT）深度溯源分析，确认该攻击行动由美国国家安全局（NSA）策划并实施。此次攻击活动呈现出长期性、隐蔽性及高度针对性的特征。攻击者利用“三角测量”行动窃取移动终端凭证作为突破口，进???渗透内部计算机网络，部署多达42款定制化网络攻击武器，构建起多层加密的隐蔽通信隧道，意图对高精度地基授时导航系统等国家级战略科技设施进行渗透与破坏。;工业控制系统安全威胁白皮书;工业控制系统安全威胁白皮书

认证服务器及防火墙等核心网络设备，实施了大规模数据窃取。;工业控制系统安全威胁白皮书

本次事件再次证实，国家级APT组织在针对关键基础设施的攻击中，正从单一的技术渗透向“移动端突破+内网持久化+供应链利用”的复合战术演进。NSA展现了在零日漏洞利用、免杀技术储备及加密通信协议设计上的世界领先水准，但也暴露出其武器库在被频繁曝光后技术迭代的路径依赖特征。鉴于授时中心在国家金融、能源、通信及国防领域的基石作用，此次防御与溯源成果对于保障中国国家时频体系安全具有战略意义。

2、人工智能驱动的信息窃取程序LameHug攻击乌克兰组织

2025年7月，乌克兰计算机应急响应小组披露了LameHug的出现，这是首个公开报道的由人工智能驱动的信息窃取程序。该信息窃取程序被认为由APT28组织开发。

LameHug通过集成大型语言模型(LLM)进行动态命令生成，代表了恶意软件开发领域的一次范式转变。该恶意软件使用Python编写，并利用HuggingFaceAPI与阿里云的Qwen2.5-Coder-32B-Instruct模型进行交互，该模型是一个专门用于代码生成和编程相关任务的开源LLM。这种架构选择使恶意软件能够实时将自然语言描述转换为可执行的Windows命令，从而从根本上改变了传统的恶意软件执行模式。

人工智能集成通过复杂的基于提示的系统运行，LameHug向LLM发送提示，并接收针对特定侦察和数据窃取目标动态生成的命令序列。;工业控制系统安全威胁白皮书

该恶意软件可以生成复杂的多个命令序列，包括通过systeminfo收集系统信息、通过wmic查询进行硬件枚举、通过ipconfig分析网络配置以及使用whoami命令评估用户权限。这种方法消除了对硬编码命令序列的需求，使每个感染实例的执行方式都独一无二。以下是基于LameHug硬编码提示的LLM生成命令示例。;工业控制系统安全威胁白皮书

该恶意软件成功地对乌克兰组织进行了实际攻击，表明人工智能驱动的攻击工具已经从理论概念转变为国家支持的武器库中的实用武器。这一趋势表明，其他威胁行为者也可能会投资开发类似的能力，从而可能加速人工智能增强型恶意软件家族在网络威胁领域的传播。

3、ESET发现首个人工智能驱动的勒索软件PromptLock

2025年8