新型工控恶意软件Triton卷土重来

据外媒报道，Triton针对关键基础设施的第二次攻击已启动，此次事件幕后黑手或为某俄罗斯组织。尽管FireEye公司没有公布设施的位置和类型等细节，但其表示，袭击者的意图是造成严重损害。

Fireye认为，在进入安全仪表系统（SIS）工程工作站之前，最近这次攻击的黑客组织已经在该设施内潜伏了将近一年。

新型工控恶意软件Triton卷土重来

报告称，他们没有使用键盘记录器和截屏器、浏览文件或窃取信息的间谍行为。但PAS Global首席执行官Eddie Habibi表示，一旦SIS受到攻击，攻击者就可以改变工厂的运营，从而造成一系列的危害。如果攻击者打算造成物理破坏，他们很可能并行地访问其他控制系统，一旦安全系统被破坏，就很可能破坏环境、造成人身伤害，甚至生命损失。

新型工控恶意软件Triton卷土重来

黑客还采取了多种措施来隐藏他们的存在，如：

以合法文件名重新命名恶意文件，例如KB77846376.exe；

使用模仿合法管理员活动的标准工具，包括RDP和PsExec/WinRM；

依赖加密的SSH隧道工具和远程命令/程序执行；

使用合法用户或进程不经常使用的目录；

使用时间戳修改攻击工具的$STANDARD_INFORMATION属性等。

Fireye公司建议工业控制系统安全人员应熟悉公司建立的策略、技术和程序，以便分析人员可以检查他们的系统是否有感染Triton的迹象。