美國(guó)國(guó)土安全部研究人員于近期在調(diào)查時(shí)發(fā)現(xiàn)另一新型惡意軟件HatMan,旨在針對(duì)國(guó)家工業(yè)控制系統(tǒng)展開攻擊活動(dòng)。隨后,國(guó)家網(wǎng)絡(luò)安全與通信集成中心在本周一發(fā)布的惡意軟件分析報(bào)告中提供了緩解措施與 YARA 規(guī)則,以便減少國(guó)家工控系統(tǒng)的損失。
調(diào)查顯示,基于 Python 編寫的 HatMan 惡意軟件主要以施耐德電氣的 Triconex 安全儀表系統(tǒng)(SIS)控制器為目標(biāo),旨在監(jiān)控流程并將其恢復(fù)到安全狀態(tài)或在發(fā)現(xiàn)潛在危險(xiǎn)情況時(shí)執(zhí)行安全關(guān)閉。此外,HatMan 還通過(guò)專有的 TriStation 協(xié)議與 SIS 控制器進(jìn)行通信,并允許攻擊者通過(guò)添加新的梯形圖邏輯操縱設(shè)備。然而,由于黑客在觸發(fā) SIS 控制器啟動(dòng) “安全關(guān)閉” 功能后終止了操作,因此FireEye 專家推測(cè)攻擊者可能是在偵查階段無(wú)意觸發(fā)了控制器,其最終目標(biāo)可能只是針對(duì) SIS 造成高強(qiáng)度的物理傷害感興趣。
施耐德電氣的 Triconex 安全檢測(cè)系統(tǒng)(SIS)控制器主要用于核電站、煉油、石化、化工和其它過(guò)程工業(yè)的安全和關(guān)鍵單元提供連續(xù)的安全連鎖和保護(hù)、工藝監(jiān)視,并在必要時(shí)安全停車。
值得注意的是,NCCIC 在其報(bào)告中指出,該惡意軟件主要有兩部分組件:一部分是在受損的 PC 端運(yùn)行后與安全控制器交互,另一塊是在控制器上直接運(yùn)行。研究人員表示,雖然 HatMan 本身并沒(méi)有做任何危險(xiǎn)動(dòng)作,且被降級(jí)的基礎(chǔ)設(shè)施安全系統(tǒng)也不會(huì)直接操作整個(gè)控制流程,但倘若存在漏洞的安全系統(tǒng)遭到惡意軟件感染則可能會(huì)造成極大危害。另外,可以肯定的是,雖然 HatMan 今后可能會(huì)成為監(jiān)控 ICS 的重要工具,但它或許只會(huì)被用來(lái)影響工業(yè)生產(chǎn)流程或者其他危險(xiǎn)操作??偠灾瑦阂廛浖胁煌M件的構(gòu)建意味著攻擊者需要對(duì) ICS 環(huán)境(特別是對(duì) Triconex 控制器)極其熟悉,以及它需要較長(zhǎng)的開發(fā)周期來(lái)完善這類高級(jí)攻擊手法。
施耐德電氣已對(duì)此事件展開調(diào)查。官方表示目前沒(méi)有證據(jù)表明該惡意軟件利用了產(chǎn)品中的任何漏洞。但安全專家還是建議客戶切勿輕易將設(shè)備置于 “Program” 模式,因?yàn)楫?dāng)控制器設(shè)置為此“Program” 模式時(shí)攻擊者就可能通過(guò)惡意軟件傳送 payload。
國(guó)家安全局局長(zhǎng) Emily S. Miller 表示:“ 攻擊者有能力訪問(wèn)關(guān)鍵基礎(chǔ)設(shè)施的安全儀器設(shè)備,并極有可能針對(duì)設(shè)備固件進(jìn)行潛在更改,因此這一提醒給予關(guān)鍵基礎(chǔ)設(shè)施的所有者與經(jīng)營(yíng)者莫大的警示。”