wechatimg260

新型工控恶意软件 Triton 首次曝光,幕后团队疑有“国家资助”

  • 浏览次数 25997
  • 喜欢 3
  • 评分 12345

据外媒报道,美国网络安全公司 FireEye 发现了一种专门针对工业控制系统( ICS )的新型恶意软件 Triton ,旨在破坏关键基础设施中广泛使用的 Triconex 安全控制器,通过扫描和映射工业控制系统环境,以便直接向 Tricon 安全控制器提供侦察和发布命令。相关专家推测,鉴于经济动机和攻击的复杂程度,可能有国家资助的相关群体参与其中。

施耐德电气的 Triconex 安全检测系统( SIS )控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全联锁和保护、工艺监视,并在必要时安全停车。这次调查中 FireEye 没有将 Triton 攻击与任何已知的 APT ( 高级持续性威胁 ) 组织联系起来。专家认为此次事件是侦察活动的一部分,而且它与之前发生在全球的许多攻击和侦察活动一致。

image017121601

定制级恶意软件针对工控系统,幕后团队疑有“国家资助”

FireEye 表示, 黑客组织正在培养其造成物理损坏和在无意中关闭操作的能力,一旦他们获得 SIS 系统的访问权限,就会趁机部署 Triton 恶意软件,这一情况表明攻击者对 SIS 系统有一定的了解,因为根据 FireEye 的说法,攻击者需要事先编写和测试黑客工具,而该工具需要访问的硬件和软件并不被外界广泛使用。此外,Triton 也被设计为利用未公开记录的专有 TriStation 协议进行通信,这意味着攻击者反向设计协议来执行攻击。Triton 恶意软件与 Triconex SIS 控制器相互作用, 从而具有读写程序和控制器的功能。

知情人士透露,攻击者还在基于 Windows 的工程工作站上部署了 Triton 恶意软件并伪装成合法的 Triconex Trilog 应用程序用于检查日志。若出现故障,该恶意软件则会尝试将控制器恢复到运行状态;若尝试失败,也会使用垃圾数据覆盖恶意程序,并且可能会删除攻击痕迹。

image2017121602

相关人士透露,Triton 恶意软件对 SIS 控制器的攻击非常危险。一旦控制器被攻破,黑客就可以重新编程设备,以触发安全状态,并对目标环境的操作产生巨大影响。此外,攻击者也可以对重新编写 SIS 控制器程序 ,以避免在参数呈现危险值时触发操作。倘若 SIS 和 DCS 控制失败,那么就会触发最后一道防线 ——工业设施,其中包括设备的机械保护(例如破裂盘)、物理警报、应急反应程序和其他缓解危险情况的机制。

FireEye 表示, 黑客似乎对 SIS 造成高强度的攻击并带来物理伤害非常感兴趣,这在典型的网络犯罪团体中并不常见。在 FireEye 检测到的这次攻击中,黑客在触发 SIS 控制器启动“安全关闭”功能后终止了操作,因此专家们推测攻击者可能是在侦查阶段无意触发了控制器。

施耐德电气发布安全警告

目前,施耐德电气已经意识到 Triton 恶意软件是针对单个客户 Triconex Tricon 安全关闭系统的定向攻击事件,官方正在调查这些黑客组织是否利用了 Triconex 产品中的漏洞,并且表示会积极与其客户、网络安全组织和 ICS CERT 密切合作,以降低此类攻击风险。与此同时,施耐德发布了一项安全警告, 建议避免将 Triconex 控制器钥匙开关处于 “ Program ” 模式,因为在此模式下攻击者能够通过恶意软件传送 playload。

尽管多年来全球报告了大量的工控系统感染事件,但当时专家也只检测到几种专门针对 ICS 定制的恶意软件:Stuxnet、 Havex, BlackEnergy2、 IRONGATE 和 Industroyer 。 FireEye 公司已将识别出的恶意软件样本同步给其他网络安全公司,主流安全产品目前应该是能够检测出一些威胁变种的。

消息来源: Security Affairs ,编译:榆榆,校审:青楚、FOX

本文由 HackerNews.cc 翻译整理,封面来源于网络。

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot