工控安全月报| 10月
2022-11-08 09:59:41   来源： 谛听网络安全团队   评论：0 点击：

　　01  工控安全相关政策

　　《信息安全技术 关键信息基础设施安全保护要求》发布

　　工业互联网总体网络架构国家标准正式发布

　　四项两化融合国家标准正式发布实施

　　英国发布关于新兴供应链攻击的新网络安全指南

　　工信部关于印发《网络产品安全漏洞收集平台备案管理办法》的通知
 

　　02　工控安全相关事件

　　美国亚利桑那州图森市披露数据泄露，影响超过123000人

　　勒索团伙Everest入侵南非电力能源供应商

　　GhostSec黑客组织攻击伊朗的工业控制系统以支持Hijab抗议活动

　　亲俄黑客组织KillNet对美国机场网站发起分布式拒绝服务(DDoS)攻击并威胁对美国实体采取更多行动

　　俄罗斯导弹袭击乌克兰关键基础设施，亲俄黑客攻击乌克兰银行

　　研究人员介绍网络间谍组织Earth Aughisky使用的恶意工具

　　VMware发布关于Emotet恶意软件的供应链的分析报告

　　西门子Simatic系列PLC中发现漏洞

　　欧盟最大的铜生产商Aurubis遭受网络攻击

　　印度能源公司塔塔电力公司的IT基础设施受到网络攻击的打击

　　CISA警告研华R-SeeNet和日立能源APM Edge设备中的严重漏洞

　　澳大利亚第三大电力公司遭受网络攻击

　　德国主要能源供应商证实遭受网络攻击

　　勒索团伙对美国制造业造成重创
 

　　工控安全相关政策

　　1　　信息安全技术 关键信息基础设施安全保护要求》发布

　　10月12日，国家标准化管理委员会发布2022年第14号中华人民共和国国家标准公告，批准发布国家标准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》，《信息安全技术 关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。此次标准的发布，意味着我国的国家关键信息基础设施（电力，燃气，水力，石化等）工业控制系统的网络安全保护将纳入国家监督成为强制要求，标志着我国关键信息基础设施安全保障体系的建设进一步完善，为运营者开展关键信息基础设施的安全保护工作提供更有效的规范和引领。标准将于2023年5月1日开始实施。

　　参考链接：

　　https://std.samr.gov.cn//gb/search/gbDetailed?id=EC5E3D1483365849E05397BE0A0A97C8

　　2　　工业互联网总体网络架构国家标准正式发布

　　10月14日，国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告，批准发布国家标准GB/T 42021-2022《工业互联网 总体网络架构》，这是我国工业互联网网络领域发布的首个国家标准，标志着我国工业互联网体系建设迈出了坚实的一步。《工业互联网 总体网络架构》国家标准围绕工业互联网网络规划、设计、建设和升级改造，规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求，提出了工业互联网网络实施框架和安全要求，有助于加快构建高质量的工业互联网网络基础设施，有助于引导全行业全产业的数字化、网络化、智能化水平提升，对于加速产业数字化转型具有重要意义。标准将于2023年5月1日开始实施。

　　参考链接：

　　https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_c7695e22ef0e4ef5b4b48ba94f5d0f0d.html

　　https://std.samr.gov.cn//gb/search/gbDetailed?id=EB58F4DA9159B2A2E05397BE0A0A7D33

　　3　　四项两化融合国家标准正式发布实施

　　10月14日，国家市场监督管理总局（国家标准化管理委员会）发布2022年第13号中国国家标准公告，批准《信息化和工业化融合 数字化转型 价值效益参考模型》（GB/T 23011-2022，简称《数字化转型 价值效益参考模型》）、《信息化和工业化融合管理体系 供应链数字化管理指南》（GB/T 23050-2022，简称《供应链数字化管理指南》）、《信息化和工业化融合管理体系 生产设备运行管理规范》（GB/T 23022-2022，简称《生产设备运行管理规范》）和《信息化和工业化融合管理体系 生产设备运行绩效评价指标集》（GB/T 23023-2022，简称《生产设备运行绩效评价指标集》）4项国家标准正式发布，这是立足新发展阶段，深入推进两化深度融合、加速数字化转型的最新成果，对加快新型工业化发展具有重要意义。

　　参考链接：

　　https://www.miit.gov.cn/jgsj/xxjsfzs/gzdt/art/2022/art_c3f3afb57a1b4fef9a78cbb177224746.html

　　4　　英国发布关于新兴供应链攻击的新网络安全指南

　　10月16日，网络安全专家就供应链黑客的危险发出了新的警告。英国网络安全机构已建议企业采取额外的预防措施来防止供应链攻击。为了应对最近增加的供应链威胁，国家网络安全中心（NCSC）为企业提供了新的建议。虽然该建议适用于所有行业的企业，但它是与跨市场运营弹性小组（CMORG）合作发布的，该小组旨在提高金融部门运营弹性。该建议旨在协助中型和大型企业，评估与供应商合作的网络风险，并确认缓解技术对与供应商开展业务相关的漏洞有效。该建议分为五个阶段，分别阐述了企业为何应该关注供应链网络安全，在开发方法时如何识别和保护自己的私人数据，如何将该方法应用于新供应商，如何将其应用于与现有供应商的合同以及持续改进。

　　参考链接：

　　https://www.ncsc.gov.uk/collection/assess-supply-chain-cyber-security

　　5　　工信部关于印发《网络产品安全漏洞收集平台备案管理办法》的通知

　　10月28日，为规范网络产品安全漏洞收集平台备案管理，工业和信息化部近日印发《网络产品安全漏洞收集平台备案管理办法》。《办法》规定，漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展，采用网上备案方式进行。拟设立漏洞收集平台的组织或个人，应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。《办法》自2023年1月1日起施行。

　　参考链接：

　　https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8c3a9f746c324ac8a6c033f896356a0d.html
 

　　工控安全相关事件

　　1　　美国亚利桑那州图森市披露数据泄露，影响超过123000人

　　10月5日，美国亚利桑那州图森市披露了一起数据泄露事件，涉及超过123000人的个人信息。正如发送给受影响人群的数据泄露通知所显示的那样，攻击者破坏了该市的网络，并泄露了数量不详的包含敏感信息的文件。威胁者在5月17日至5月31日之间访问了网络，并可能访问或窃取了包含123513人信息的文件。纽约市于9月23日开始通知可能受影响的个人，在事件期间暴露的个人敏感信息中，攻击者可能已经访问了受影响个人的姓名和社会安全号码。发送给受影响个人的通知信也显示，到目前为止，没有发现任何证据表明这些个人信息已被滥用。建议受数据泄露影响的人监控自己的信用报告，以发现任何可能暗示涉及其个人信息的身份盗窃和欺诈事件的可疑活动。该市为受影响的人提供12个月的免费访问益博睿信用监控和身份保护服务，以及有关防范身份盗用的指导。

　　参考链接：

　　https://www.bleepingcomputer.com/news/security/city-of-tucson-discloses-data-breach-affecting-over-123-000-people/

　　2　　勒索团伙Everest入侵南非电力能源供应商

　　10月8日，安全专家报告称Eskom控股有限公司的服务器出现了一些问题。同时，Everest勒索团伙发布了有关南非国有电力公司被黑的声明，并声称可以访问Eskom公司的所有服务器，并对其中的许多服务器具有root访问权限。3月18日，Everest勒索团伙发布公告，宣布以125000美元的价格出售南非电力公司Eskom的root访问权限。Eskom是南非电力能源供应商，将煤炭、核能、燃料、柴油、水和风能等转化为90%以上的能源，供应给南非和南部非洲发展共同体(SADC)地区的众多客户。与此同时，Eskom否认有安全漏洞。

　　参考链接：

　　https://securityaffairs.co/wordpress/136866/cyber-crime/south-africa-eskom-everest-ransomware.html

　　3　　GhostSec黑客组织攻击伊朗的工业控制系统以支持Hijab抗议活动

　　10月10日，工业网络安全公司OTORIO透露，GhostSec黑客组织继续展示其ICS（工业控制系统）黑客技能，现在已将支持转向最近在伊朗掀起的Hijab抗议活动。在最新的攻击中，GhostSec黑客组织使用了Metasploit框架，这是安全研究人员和渗透测试人员普遍使用的工具。Metasploit是一个功能强大的模块化框架，允许对远程资产执行各种攻击。在许多情况下，他们可以简单地在互联网上扫描具有与工业协议相关的开放端口的潜在ICS目标，例如TCP端口502上的Modbus或TCP端口44818上的CIP，然后应用Metasploit SCADA模块或其他ICS攻击工具他们。大约一个月前，有人发现该组织以以色列的PLC为目标。GhostSec组织在社交媒体及其Telegram频道上宣布，它成功攻破了以色列的55台Berghof PLC设备。

　　参考链接：

　　https://industrialcyber.co/news/otorio-reveals-ghostsec-hacktivist-group-now-targets-iranian-ics-in-support-of-hijab-protests/

　　4　　亲俄黑客组织KillNet对美国机场网站发起分布式拒绝服务(DDoS)攻击并威胁对美国实体采取更多行动

　　10月10日，亲俄黑客组织KillNet声称对美国几个主要机场的网站进行了大规模分布式拒绝服务(DDoS)攻击，使其无法访问。DDoS攻击已经通过垃圾请求使托管这些网站的服务器无法运作，使旅客无法连接并获取有关其定期航班或预订机场服务的更新。被攻击的机场包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)、丹佛国际机场(DIA)、凤凰城天港国际机场(PHX)，以及肯塔基州、密西西比州和夏威夷的一些机场。在这种情况下，DDoS攻击不会影响航班，但它们仍然对关键经济部门的功能产生不利影响，可能会破坏或延迟相关服务。KillNet在对机场网站发起攻击后威胁对美国实体采取更多行动。尽管攻击范围很大，但网络安全专家表示，媒体的报道与实际造成的损害不成比例。他们指出，DDoS攻击不会造成持久的损害，而且KillNet明确寻求能够引起媒体兴趣的攻击。10月11日，KillNet将注意力转向了针对美国最大的金融服务机构摩根大通和几个相关实体的DDoS攻击。他们还敦促组织成员对美国民用网络基础设施发起攻击，如海运码头和物流设施、天气监测中心、公共交通系统等。KillNet的创始人KillMilk还表示，他们正在计划进一步的攻击，涉及更严重的技术，包括旨在破坏数据的擦除器攻击。

　　参考链接：

　　https://www.bleepingcomputer.com/news/security/us-airports-sites-taken-down-in-ddos-attacks-by-pro-russian-hackers/

　　https://therecord.media/coverage-of-killnet-ddos-attacks-plays-into-attackers-hands-experts-say/

　　5　　俄罗斯导弹袭击乌克兰关键基础设施，亲俄黑客攻击乌克兰银行

　　10月10日，俄罗斯导弹袭击乌克兰，造成乌克兰大范围停电，乌克兰的互联网和移动通信于10月10日和11日中断。Cloudflare的数据显示，10月10日早些时候，乌克兰的互联网可用性比正常水平低35%。截至11日上午，由于俄罗斯继续攻击该国的关键基础设施，乌克兰的互联网仍处于中断状态，但大多数地区已恢复连接。在导弹袭击之后，亲俄的黑客对乌克兰移动银行Monobank发起了分布式拒绝服务(DDoS)攻击，每分钟发送600万次请求。到目前为止，没有黑客组织声称对这次攻击负责。

　　参考链接：

　　https://therecord.media/internet-disruptions-cyberattacks-hit-ukraine-following-russian-missile-strikes/

　　6　　研究人员介绍网络间谍组织Earth Aughisky使用的恶意工具

　　10月10日，趋势科技(Trends Micro)一项新的研究详细介绍了一个恶意软件工具集越来越复杂的性质，这个工具集是由名为Earth Aughisky的高级持续性威胁（APT）组织所使用的。Earth Aughisky，也被称为Taidoor，是一个网络间谍组织，以其滥用合法账户、软件、应用程序以及网络设计和基础设施中的其他弱点的达到自己的目的而闻名。在过去十年中，该组织继续对工具和恶意软件部署进行调整，针对台湾以及日本的特定目标。最常见的目标垂直行业包括政府、电信、制造业、重型、技术、运输和医疗保健。该小组安装的攻击链通常利用鱼叉式网络钓鱼作为进入方法，利用它来部署下一阶段的后门。趋势科技将Earth Aughisky的活动与另一位由空中客车公司代号为Pitty Tiger（又名APT24）的APT组织联系起来，该组织基于在2014年4月至8月期间发生的各种攻击中使用了相同投弹器。

　　参考链接：

　　https://thehackernews.com/2022/10/researchers-detail-malicious-tools-used.html

　　7　　VMware发布关于Emotet恶意软件的供应链的分析报告

　　10月10日，根据VMware的最新研究，与臭名昭著的Emotet恶意软件相关的黑客组织正在不断改变其策略命令和控制（C2）基础架构，以逃避检测。Emotet被称为木乃伊蜘蛛（又名TA542），于2014年6月作为银行木马出现，然后在2016年演变成一个通用加载程序，能够提供勒索软件等第二阶段有效载荷。Emotet的重新出现也标志着C2基础设施的变化，黑客组织运行着两个新的僵尸网络集群，分别称为Epochs 4和Epochs 5。在摧毁之前，Emotet在三个单独的僵尸网络上运行，称为Epochs1，2和Epochs 3。2022年3月15日至6月18日期间，在野外检测到的10235个Emotet有效载荷重复使用了属于Epoch 5的C2服务器。其他重要组件包括垃圾邮件模块和微软Outlook和雷鸟电子邮件客户端的帐户窃取程序。大多数用于托管服务器的IP地址都位于美国，德国和法国。相比之下，大多数Emotet模块主机都在印度，韩国，泰国，加纳，法国和新加坡。为了防范Emotet等威胁，建议实施网络分段，强制使用零信任模型，并替换默认身份验证机制，以支持更强大的替代机制。

　　参考链接：

　　https://news.vmware.com/security/vmware-report-exposes-emotet-malware

　　8　　西门子Simatic系列PLC中发现漏洞

　　10月12日，工业网络安全公司Claroty研究小组Team82发现，西门子Simatic可编程逻辑控制器（PLC）的一个漏洞可被利用，以检索硬编码的全球私人加密密钥并夺取设备的控制权。Claroty在一份报告中说："攻击者可以利用这些密钥对西门子SIMATIC设备和相关的TIA门户网站进行多种高级攻击，同时绕过其所有四个访问级别保护。一个攻击者可以利用这些秘密信息，以不可修复的方式损害整个SIMATIC S7-1200/1500产品系列"。该漏洞的编号为CVE-2022-38465，CVSS评分为9.3分，西门子已在2022年10月11日发布的安全更新中予以解决。Claroty表示，该漏洞通过利用之前披露的西门子PLC（CVE-2020-15782）中的一个漏洞，能够获得控制器的读写权限，从而恢复私钥。这样做攻击者不仅可以规避访问控制并覆盖本机代码，而且还可以获得对每个受影响的西门子PLC的完全控制。作为缓解措施，西门子建议客户只在可信的网络环境中使用传统的PG/PC和HMI通信，并确保对TIA Portal和CPU的访问安全，以防止未经授权的连接。

　　参考链接：

　　https://claroty.com/team82/research/the-race-to-native-code-execution-in-plcs-using-rce-to-uncover-siemens-simatic-s7-1200-1500-hardcoded-cryptographic-keys

　　https://thehackernews.com/2022/10/critical-bug-in-siemens-simatic-plcs.html

　　9　　欧盟最大的铜生产商Aurubis遭受网络攻击

　　10月28日，德国铜生产商Aurubis宣布遭受网络攻击，迫使其关闭IT系统以防止攻击蔓延。Aurubis是欧洲最大的铜生产商，也是世界第二大铜生产商，在全球拥有6900名员工，每年生产100万吨阴极铜。Aurubis在其网站上发布的公告中表示，他们关闭了其所在地的各种系统，但这并未影响生产。目前，该公司仍在评估网络攻击的影响，并与当局密切合作以加快这一过程。现在的首要任务是将产量维持在正常水平，并保持原材料供应和成品交付不受干扰。出于这个原因，一些操作已转向手动模式，以保持进出货物的流量足够，直到计算机辅助自动化可以重新使用。Aurubis表示，无法估计其所有系统恢复正常运行需要多长时间。虽然上述所有内容都带有勒索软件攻击的典型迹象，但Aurubis尚未提供有关其网络攻击的任何详细信息。

　　参考链接：

　　https://www.bleepingcomputer.com/news/security/largest-eu-copper-producer-aurubis-suffers-cyberattack-it-outage/

　　10　　印度能源公司塔塔电力公司的IT基础设施受到网络攻击的打击

　　10月15日，印度最大的综合电力公司塔塔电力公司（Tata Power）证实，它已成为网络攻击的目标。该公司在向印度国家证券交易所（NSE）提交的文件中表示，对IT基础设施的入侵影响了公司的系统。该公司进一步表示，它已采取措施检索和恢复受影响的机器，并为面向客户的门户网站设置了限制，以防止未经授权的访问。塔塔电力公司总部位于孟买，是塔塔企业集团的一部分，它没有透露有关袭击性质或袭击发生时间等任何进一步的细节。据说，网络入侵的目标是“至少七个印度州负荷调度中心（SLDC），负责在这些州内进行电网控制和电力调度的实时操作。”该公司进一步评估认为，确定目标是为了方便收集与关键基础设施资产有关的信息，或许可能是未来活动的前奏。

　　10月25日，Hive勒索软件组织声称对塔塔电力公司10月披露的网络攻击负责。在BleepingComputer公布的屏幕截图中，Hive公布了他们声称从塔塔电力公司窃取的数据，表明赎金问题谈判失败。当日，Hive勒索软件组织背后的运营人员开始在其泄密站点上泄露据称从塔塔电力公司窃取的数据。其中似乎包括员工的个人身份信息(PII)、国民身份证(Aadhar)卡号、PAN（税号）号码、工资信息等。此外，还包含工程图纸、财务和银行记录以及客户信息等。

　　参考链接：

　　https://thehackernews.com/2022/10/indian-energy-company-tata-powers-it.html

　　https://www.bleepingcomputer.com/news/security/hive-claims-ransomware-attack-on-tata-power-begins-leaking-data/

　　11　　CISA警告研华R-SeeNet和日立能源APM Edge设备中的严重漏洞

　　10月18日，美国网络安全和基础设施安全局（CISA）发布了两项工业控制系统（ICS）公告，涉及研华R-SeeNet和日立能源APM Edge设备的严重缺陷。这包括R-SeeNet监视解决方案中的三个弱点，成功利用这些弱点“可能导致未经授权的攻击者远程删除系统上的文件或允许远程执行代码”。影响R-SeeNet版本2.4.17及更早版本的问题如下，编号CVE-2022-3385和CVE-2022-3386，CVSS评分为9.8，是两个基于堆栈的缓冲区溢出缺陷，可能导致远程执行代码。编号CVE-2022-3387，CVSS评分为6.5，是一种路径遍历缺陷，可使远程攻击者删除任意PDF文件。补丁已在2022年9月30日发布的R-SeeNet版本2.4.21中提供。

　　参考链接：

　　https://thehackernews.com/2022/10/cisa-warns-of-critical-flaws-affecting.html

　　12　　澳大利亚第三大电力公司遭受网络攻击

　　10月21日，澳大利亚第三大能源公司EnergyAustralia电力公司宣称遭受了严重的网络攻击。EnergyAustralia称，攻击者可以访问323个住宅和小企业客户的信息，但“没有证据证明数据泄露”。被泄露的数据存储在公司的在线平台My Account上，包括客户姓名、地址、电子邮件地址、电费和煤气费、电话号码以及信用卡的前六位和后三位数字。EnergyAustralia表示此次网络攻击发生在2022年9月30日，并称密码、银行信息、驾驶执照和护照没有被泄露，因为它们没有存储在平台上。10月2日，该公司通知了受影响的用户，并将事件报告给了澳大利亚的监管部门和执法部门。

　　参考链接：

　　https://www.cysecurity.news/2022/10/energyaustralia-electricity-company.html?utm_source=dlvr.it&utm_medium=twitter

　　13　　德国主要能源供应商证实遭受网络攻击

　　10月27日，德国最大的市政能源供应商之一Enercity证实，其于10月26日早上遭受了网络攻击。Enercity公司表示，其安全系统“立即做出反应”，避免了“对公司造成更大损害”。Enercity确认将继续向客户提供能源，并解释其运营和关键基础设施没有受到影响。该公司表示：“我们的电网和发电厂稳定，供应安全得到保障。”然而，攻击影响了客户服务，其可用性有限。该公司补充说：“目前并非所有IT系统都可以充分利用，这意味着它们可能受到轻微限制。”而就在2022年10月下旬，德国联邦网络安全办公室警告称，该国面临的威胁形势“比以往任何时候都高”。2022年下半年，德国的能源部门一再成为犯罪分子的目标。目前此次攻击事件还在调查中。

　　参考链接：
https://therecord.media/major-german-energy-supplier-hit-by-cyberattack/?__cf_chl_tk=fS0K0LaEk1joKZVg4GfemV83vQoRBw2SG0zxil_pxV8-1667198777-0-gaNycGzNCb0

　　14　　勒索团伙对美国制造业造成重创

　　10月27日，安全研究团队Dragos发布研究报告，称勒索软件团伙正在重创美国工业部门，尤其是制造业公司。2022年第三季度发现针对美国组织的网络攻击活动显著增加。与此同时，新兴的勒索软件团体正在涌现。根据Dragos第三季度对工业组织勒索软件攻击的分析，全球36%的记录案例袭击了北美（46起事件）。这比上一季度增加了10%，当时四分之一的病例影响了该地区。然而，分析还发现，全球的攻击率季度环比持平——第三季度为128次，而第二季度为125次。观察到的大多数事件（68%）是针对制造业的。在已确认的攻击中（即公开报告的、在公司遥测中看到的或在暗网上确认的攻击），有88起针对该细分市场，尤其是那些生产金属产品的攻击（12起攻击）。Lookout安全解决方案高级经理Stephen Banda指出，制造业正在向云迁移。数字化制造、库存跟踪、运营和维护可提高效率，减少生产停机时间并提高灵活性。但它也开辟了新的攻击面。总之，对于大多数制造商来说，安全解决方案仍然保留在本地。

　　参考链接：

　　https://www.darkreading.com/ics-ot/ransomware-gangs-ramp-industrial-attacks-us
 

　　蜜罐数据分析

　　“谛听”工控蜜罐在10月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。

　　图1展示了2022年10月份和9月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到，10月份DNP3协议蜜罐受到的攻击数量明显低于9月份受到的攻击数量，除此以外10月份各协议蜜罐受到的攻击数量都高于9月份受到的攻击数量。　

　　图2展示了10月份和9月份攻击量最多的10个国家对比情况。从图中可以看到，10月份来自美国的攻击量略有下降但仍然位居第一位，此外相比9月份出现了两个新的前十攻击源国家—伯利兹和沙特阿拉伯。其他国家对蜜罐的攻击量均有所波动。

　　由图3可以看出，10月份来自山西的流量最多，来自江苏省的流量位居第二，而来自北京的流量位居第三，排名比较靠前的也大都是工业较发达的地区。　

　　俄罗斯、乌克兰联网工控设备分析

　　俄罗斯乌克兰紧张局势已持续大半年多，随着冬季的来临，双方战事愈加激烈，其中也包括网络空间战争。发动网络战能够削弱一个国家的通信能力与战场感知能力，而且随着军队依靠软件，利用获取的情报在战场上进行部署，这场竞赛变得越来越重要。为了能够了解俄罗斯和乌克兰的工控领域状况，团队进行了持续关注，并对两国的工控设备进行了能够获取被扫描设备详细信息的高交互探测。

　　从图4乌克兰各协议暴露数量对比图中可以看出，10月探测到的数量与9月份相比，AMQP协议和ilon Smartserver协议具有小幅波动，其他协议数量保持持平。同时联网摄像头暴露数量也小幅降低，由2211升至2026。

　　俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，相较于9月，10月当中大部分协议均有不同程度的降低，小部分协议保持持平。联网摄像头暴露数量由2984降至2786。后续团队将对相关信息持续关注。