信息來源：hackernews

據(jù)外媒報道，美國網(wǎng)絡(luò)安全公司 FireEye 發(fā)現(xiàn)了一種專門針對工業(yè)控制系統(tǒng)（ ICS ）的新型惡意軟件 Triton ，旨在破壞關(guān)鍵基礎(chǔ)設(shè)施中廣泛使用的 Triconex 安全控制器，通過掃描和映射工業(yè)控制系統(tǒng)環(huán)境，以便直接向 Tricon 安全控制器提供偵察和發(fā)布命令。相關(guān)專家推測，鑒于經(jīng)濟動機和攻擊的復雜程度，可能有國家資助的相關(guān)群體參與其中。

施耐德電氣的 Triconex 安全檢測系統(tǒng)( SIS )控制器主要用于核電站、煉油、石化、化工和其它過程工業(yè)的安全和關(guān)鍵單元提供連續(xù)的安全聯(lián)鎖和保護、工藝監(jiān)視，并在必要時安全停車。這次調(diào)查中 FireEye 沒有將 Triton 攻擊與任何已知的 APT ( 高級持續(xù)性威脅 ) 組織聯(lián)系起來。專家認為此次事件是偵察活動的一部分，而且它與之前發(fā)生在全球的許多攻擊和偵察活動一致。

定制級惡意軟件針對工控系統(tǒng)，幕后團隊疑有“國家資助”

FireEye 表示， 黑客組織正在培養(yǎng)其造成物理損壞和在無意中關(guān)閉操作的能力，一旦他們獲得 SIS 系統(tǒng)的訪問權(quán)限，就會趁機部署 Triton 惡意軟件，這一情況表明攻擊者對 SIS 系統(tǒng)有一定的了解，因為根據(jù) FireEye 的說法，攻擊者需要事先編寫和測試黑客工具，而該工具需要訪問的硬件和軟件并不被外界廣泛使用。此外，Triton 也被設(shè)計為利用未公開記錄的專有 TriStation 協(xié)議進行通信，這意味著攻擊者反向設(shè)計協(xié)議來執(zhí)行攻擊。Triton 惡意軟件與 Triconex SIS 控制器相互作用， 從而具有讀寫程序和控制器的功能。

知情人士透露，攻擊者還在基于 Windows 的工程工作站上部署了 Triton 惡意軟件并偽裝成合法的 Triconex Trilog 應(yīng)用程序用于檢查日志。若出現(xiàn)故障，該惡意軟件則會嘗試將控制器恢復到運行狀態(tài)；若嘗試失敗，也會使用垃圾數(shù)據(jù)覆蓋惡意程序，并且可能會刪除攻擊痕跡。

相關(guān)人士透露，Triton 惡意軟件對 SIS 控制器的攻擊非常危險。一旦控制器被攻破，黑客就可以重新編程設(shè)備，以觸發(fā)安全狀態(tài)，并對目標環(huán)境的操作產(chǎn)生巨大影響。此外，攻擊者也可以對重新編寫 SIS 控制器程序 ，以避免在參數(shù)呈現(xiàn)危險值時觸發(fā)操作。倘若 SIS 和 DCS 控制失敗，那么就會觸發(fā)最后一道防線 ——工業(yè)設(shè)施，其中包括設(shè)備的機械保護(例如破裂盤)、物理警報、應(yīng)急反應(yīng)程序和其他緩解危險情況的機制。

FireEye 表示， 黑客似乎對 SIS 造成高強度的攻擊并帶來物理傷害非常感興趣，這在典型的網(wǎng)絡(luò)犯罪團體中并不常見。在 FireEye 檢測到的這次攻擊中，黑客在觸發(fā) SIS 控制器啟動“安全關(guān)閉”功能后終止了操作，因此專家們推測攻擊者可能是在偵查階段無意觸發(fā)了控制器。

施耐德電氣發(fā)布安全警告

目前，施耐德電氣已經(jīng)意識到 Triton 惡意軟件是針對單個客戶 Triconex Tricon 安全關(guān)閉系統(tǒng)的定向攻擊事件，官方正在調(diào)查這些黑客組織是否利用了 Triconex 產(chǎn)品中的漏洞，并且表示會積極與其客戶、網(wǎng)絡(luò)安全組織和 ICS CERT 密切合作，以降低此類攻擊風險。與此同時，施耐德發(fā)布了一項安全警告， 建議避免將 Triconex 控制器鑰匙開關(guān)處于 “ Program ” 模式，因為在此模式下攻擊者能夠通過惡意軟件傳送 playload。

盡管多年來全球報告了大量的工控系統(tǒng)感染事件，但當時專家也只檢測到幾種專門針對 ICS 定制的惡意軟件：Stuxnet、 Havex， BlackEnergy2、 IRONGATE 和 Industroyer 。 FireEye 公司已將識別出的惡意軟件樣本同步給其他網(wǎng)絡(luò)安全公司，主流安全產(chǎn)品目前應(yīng)該是能夠檢測出一些威脅變種的。