新闻快讯
< >

新型工控恶意软件“TRITON”浮出水面

E安全12月16日讯 FireEye麦迪安调查部门的安全研究人员发现一款针对工控系统(ICS)的恶意软件——“TRITON”,该软件瞄准施耐德电气公司Triconex安全仪表控制系统(Safety Instrumented System,SIS)控制器,造成一家能源工厂停运,幕后黑手疑似为国家支持型攻击者。

这起事件堪称“分水岭”,TRITON攻击让工厂的所有设备在安全系统正在被破坏的情况下还能显示正常,这是黑客成功入侵工控安全系统的第一起正式报告。火眼和施耐德均拒绝说出受害者的身份和位置。但有安全公司认为这家能源工厂位于中东,而另一家安全司CyberX则更进一步指出是沙特阿拉伯。

新型工控恶意软件“TRITON”浮出水面-E安全

TRITON攻击分析

TRITON是攻击者构建用来与Triconex SIS控制器交互的攻击框架。Triconex广泛用于能源行业,包括核工业,石油和天燃气。FireEye表示,TRITON是继“震网”(Stuxnet)蠕虫病毒Industroyer等之后经公开确认为数不多的ICS恶意软件家族。TRITON与这些攻击一样,能阻止安全机制执行预期功能,从而造成物理破坏。

TRITON的主要描述及描述见下表:

新型工控恶意软件“TRITON”浮出水面-E安全

SIS控制器发现异常可开启保护模式:

安装在生产线和其它工业设备上的专用设备,负责读取工业设备(例如工厂机械、机器人、阀门、马达等)的数据。SIS控制器读取数据流以确保工业设备在某些参数区间运作。如果数据偏离预先确定的安全界限,SIS控制器会采取一系列措施,并可能会在极端情况下关闭整个工厂或生产线,以此保护人身安全和设备安全。

FireEye研究人员表示,攻击者在运行微软Windows操作系统的SIS工程工作站上部署TRITON,将TRITON伪装成看似合法的TriconexTrilog应用程序。该应用程序的主要作用是检查日志,是TriStation应用程序套件的组成部分。恶意软件TRITON会读取在被感染SIS工程工作站上发现的配置文件,识别SIS控制器,并尝试部署特定的Payload。当Payload被配置为关闭生产过程或允许SIS控制的机械在不安全的状态下运作,很可能会带来物理破坏。

攻击者开发造成物理破坏的能力,同时导致运作中断的原因分析如下:

  • 修改SIS可能会妨碍其正常运作,从而增加了造成物理后果的可能性。

  • TRITON被用来修改环境中SIS控制器的应用程序内存,这可能会导致验证检查失败。

  • TRITON使用期间发生故障。

  • 事件发生期间,孤立的现有或外部条件不可能造成故障。

TRITON背后操纵者身份分析

FireEye研究人员有一定的把握认为,攻击者正在开发带来物理破坏和导致运作中断的能力。FireEye未将这起活动与目前追踪的任何攻击者关联起来,但是有一定把握认为,该攻击的幕后黑手是国家支持型黑客。

首先,针对SIS发起攻击本身就说明攻击者计划发起具有高度影响力的攻击,这种攻击附带物理后果,这种攻击目标并非是网络犯罪团伙的典型表现。鉴于TRITON以关键基础设施为靶子,未表现出明显的牟利意图,攻击者创建此攻击框架必需的技术资源很完备,这些均说明TRITON的幕后黑手是实力雄厚的国家型黑客。

至于属于具体哪个国家的黑客,具体遭到TRITON攻击的公司名称以及其所属行业等信息,研究人员拒绝透露。

TRITON编码先进

FireEye多次在报告中指出,攻击者技能高超,有带来大肆破坏的打算。

  • 第一,攻击者访问SIS系统后不久便部署了TRITON,这表明他们预先创建并测试了需要访问硬件和软件的工具。TRITON还被设计使用非公开记录的专有TriStation协议进行通信,这说明攻击者独立对该协议进行了逆向工程研究。

  • 其次,这款恶意软件设计了在SIS控制器上掩盖踪迹的机制。

  • 第三,攻击者感染了隔离网络上的一台SIS工程工作站。

因此,FireEye认为,这并不是一起偶然黑客事件或单纯的竞争对手搞破坏的行为,而是国家攻击者的行径。

新型工控恶意软件“TRITON”浮出水面-E安全

以关键基础设施为目标,影响、破坏或摧毁系统的方式,与俄罗斯、美国、伊朗、以色列和朝鲜国家支持型攻击者在全球范围内发起的数起攻击和探测活动一致。这类性质的入侵一定意味着有立即破坏目标系统的意图,这可能是一场现场测试,可能是为大型攻击做准备。

建议

资产所有者考虑采取以下控制措施:

  • 在技术可行的情况下,将安全系统网络与过程控制信息系统网络隔离开。

  • 能用来设计SIS控制器的工程工作站不应与其它任何DCS(分布式控制系统)过程控制信息系统网站进行双宿(Dual-Homed)连接。

  • 利用提供物理控制能力的硬件功能对安全控制器进行编程,一般通过物理密钥控制的交换机实现。在Triconex控制器上,除了预定的编程事件期间,密钥不应留在PROGRAM模式中。

  • 通过变更管理程序改变密钥位置。定期审查当前的密钥状态。

  • 对于依赖SIS提供数据的任何应用程序,使用单向网关网络连接,而不是双向网关。

  • 在能通过TCP/IP访问SIS系统的任何服务器或工作站上采用严格的访问控制和应用白名单措施。

  • 监控ICS网络流量,检测意外通信流量和其它异常活动。

其他ICS恶意软件

研究人员发现的ICS恶意软件不止TRITON,先前浮出水面的ICS恶意软件包括针对伊朗核设施的Stuxnet,针对乌克兰电网的Industroyer和BlackEnergy,以及针对美国的Sandworm。
2017年9月,赛门铁克公司发出预警称,国家型黑客组织“蜻蜓”(Dragonfly)加大力度攻击美国和欧洲能源公司。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。