FireEye麥迪安調(diào)查部門的安全研究人員發(fā)現(xiàn)一款針對工控系統(tǒng)(ICS)的惡意軟件——“TRITON”，該軟件瞄準施耐德電氣公司Triconex安全儀表控制系統(tǒng)(Safety Instrumented System，SIS)控制器，造成一家能源工廠停運，幕后黑手疑似為國家支持型攻擊者。

這起事件堪稱“分水嶺”，TRITON攻擊讓工廠的所有設(shè)備在安全系統(tǒng)正在被破壞的情況下還能顯示正常，這是黑客成功入侵工控安全系統(tǒng)的第一起正式報告?；鹧酆褪┠偷戮芙^說出受害者的身份和位置。但有安全公司認為這家能源工廠位于中東，而另一家安全司CyberX則更進一步指出是沙特阿拉伯。

新型工控惡意軟件“TRITON”浮出水面-E安全

TRITON攻擊分析

TRITON是攻擊者構(gòu)建用來與Triconex SIS控制器交互的攻擊框架。Triconex廣泛用于能源行業(yè)，包括核工業(yè)，石油和天燃氣。FireEye表示，TRITON是繼“震網(wǎng)”(Stuxnet)蠕蟲病毒和Industroyer等之后經(jīng)公開確認為數(shù)不多的ICS惡意軟件家族。TRITON與這些攻擊一樣，能阻止安全機制執(zhí)行預期功能，從而造成物理破壞。

TRITON的主要描述及描述見下表：

新型工控惡意軟件“TRITON”浮出水面-E安全

SIS控制器發(fā)現(xiàn)異?？砷_啟保護模式:

安裝在生產(chǎn)線和其它工業(yè)設(shè)備上的專用設(shè)備，負責讀取工業(yè)設(shè)備(例如工廠機械、機器人、閥門、馬達等)的數(shù)據(jù)。SIS控制器讀取數(shù)據(jù)流以確保工業(yè)設(shè)備在某些參數(shù)區(qū)間運作。如果數(shù)據(jù)偏離預先確定的安全界限，SIS控制器會采取一系列措施，并可能會在極端情況下關(guān)閉整個工廠或生產(chǎn)線，以此保護人身安全和設(shè)備安全。

FireEye研究人員表示，攻擊者在運行微軟Windows操作系統(tǒng)的SIS工程工作站上部署TRITON，將TRITON偽裝成看似合法的TriconexTrilog應用程序。該應用程序的主要作用是檢查日志，是TriStation應用程序套件的組成部分。惡意軟件TRITON會讀取在被感染SIS工程工作站上發(fā)現(xiàn)的配置文件，識別SIS控制器，并嘗試部署特定的Payload。當Payload被配置為關(guān)閉生產(chǎn)過程或允許SIS控制的機械在不安全的狀態(tài)下運作，很可能會帶來物理破壞。

攻擊者開發(fā)造成物理破壞的能力，同時導致運作中斷的原因分析如下：

修改SIS可能會妨礙其正常運作，從而增加了造成物理后果的可能性。

TRITON被用來修改環(huán)境中SIS控制器的應用程序內(nèi)存，這可能會導致驗證檢查失敗。

TRITON使用期間發(fā)生故障。

事件發(fā)生期間，孤立的現(xiàn)有或外部條件不可能造成故障。

TRITON背后操縱者身份分析

FireEye研究人員有一定的把握認為，攻擊者正在開發(fā)帶來物理破壞和導致運作中斷的能力。FireEye未將這起活動與目前追蹤的任何攻擊者關(guān)聯(lián)起來，但是有一定把握認為，該攻擊的幕后黑手是國家支持型黑客。

首先，針對SIS發(fā)起攻擊本身就說明攻擊者計劃發(fā)起具有高度影響力的攻擊，這種攻擊附帶物理后果，這種攻擊目標并非是網(wǎng)絡(luò)犯罪團伙的典型表現(xiàn)。鑒于TRITON以關(guān)鍵基礎(chǔ)設(shè)施為靶子，未表現(xiàn)出明顯的牟利意圖，攻擊者創(chuàng)建此攻擊框架必需的技術(shù)資源很完備，這些均說明TRITON的幕后黑手是實力雄厚的國家型黑客。

至于屬于具體哪個國家的黑客，具體遭到TRITON攻擊的公司名稱以及其所屬行業(yè)等信息，研究人員拒絕透露。

TRITON編碼先進

FireEye多次在報告中指出，攻擊者技能高超，有帶來大肆破壞的打算。

第一，攻擊者訪問SIS系統(tǒng)后不久便部署了TRITON，這表明他們預先創(chuàng)建并測試了需要訪問硬件和軟件的工具。TRITON還被設(shè)計使用非公開記錄的專有TriStation協(xié)議進行通信，這說明攻擊者獨立對該協(xié)議進行了逆向工程研究。

其次，這款惡意軟件設(shè)計了在SIS控制器上掩蓋蹤跡的機制。

第三，攻擊者感染了隔離網(wǎng)絡(luò)上的一臺SIS工程工作站。

因此，F(xiàn)ireEye認為，這并不是一起偶然黑客事件或單純的競爭對手搞破壞的行為，而是國家攻擊者的行徑。

新型工控惡意軟件“TRITON”浮出水面-E安全

以關(guān)鍵基礎(chǔ)設(shè)施為目標，影響、破壞或摧毀系統(tǒng)的方式，與俄羅斯、美國、伊朗、以色列和朝鮮國家支持型攻擊者在全球范圍內(nèi)發(fā)起的數(shù)起攻擊和探測活動一致。這類性質(zhì)的入侵一定意味著有立即破壞目標系統(tǒng)的意圖，這可能是一場現(xiàn)場測試，可能是為大型攻擊做準備。

建議

資產(chǎn)所有者考慮采取以下控制措施：

在技術(shù)可行的情況下，將安全系統(tǒng)網(wǎng)絡(luò)與過程控制信息系統(tǒng)網(wǎng)絡(luò)隔離開。

能用來設(shè)計SIS控制器的工程工作站不應與其它任何DCS(分布式控制系統(tǒng))過程控制信息系統(tǒng)網(wǎng)站進行雙宿(Dual-Homed)連接。

利用提供物理控制能力的硬件功能對安全控制器進行編程，一般通過物理密鑰控制的交換機實現(xiàn)。在Triconex控制器上，除了預定的編程事件期間，密鑰不應留在PROGRAM模式中。

通過變更管理程序改變密鑰位置。定期審查當前的密鑰狀態(tài)。

對于依賴SIS提供數(shù)據(jù)的任何應用程序，使用單向網(wǎng)關(guān)網(wǎng)絡(luò)連接，而不是雙向網(wǎng)關(guān)。

在能通過TCP/IP訪問SIS系統(tǒng)的任何服務(wù)器或工作站上采用嚴格的訪問控制和應用白名單措施。

監(jiān)控ICS網(wǎng)絡(luò)流量，檢測意外通信流量和其它異?；顒?。

其他ICS惡意軟件

研究人員發(fā)現(xiàn)的ICS惡意軟件不止TRITON，先前浮出水面的ICS惡意軟件包括針對伊朗核設(shè)施的Stuxnet，針對烏克蘭電網(wǎng)的Industroyer和BlackEnergy，以及針對美國的Sandworm。

2017年9月，賽門鐵克公司發(fā)出預警稱，國家型黑客組織“蜻蜓”(Dragonfly)加大力度攻擊美國和歐洲能源公司。