新型恶意软件TRITON被发现 分分钟中断日常工业生产

“用指尖改变世界”

来自FireEye的调查部门Mandiant的安全研究人员表示，他们在一起黑客攻击事件中发现了一种能够瞄准工业设备的新型恶意软件，他们将其命名为“TRITON”。

TRITON是一个专门用于与Triconex(施耐德)安全仪表系统(Safety Instrumented System，SIS)控制器进行交互的攻击框架，能够造成工业设备的非正常关停以及物理损坏。

SIS控制器是一种安装在工厂生产线和其他工业设备上的特殊设备，能够通过从工业设备(例如生产用机器设备、机器人、阀门、电机等)读取数据来确保其处于预设的安全参数下工作。如果数据偏离了预设的限值，SIS控制器便会采取一系列解决措施。在极端情况下，甚至可以关停整条生产线，乃至整间工厂。当然，这一切都会在保障操作人员和设备安全的前提下进行。

TRITON以Triconex SIS控制器为目标

研究人员解释说，TRITON在攻击中伪装成了合法应用程序Triconex Trilog。该应用程序用于查看日志，是TriStation应用程序套件的一部分。其最终目的在于获取运行Windows操作系统的SIS工作站的远程访问权限。

在成功获取到访问权限后，TRITON会检索系统的配置文件，以识别SIS控制器，并开始尝试部署TRITON攻击框架。

TRITON攻击框架将重新编程SIS控制器，这包括将触发非正常关停以及允许SIS控制的设备在不安全状态下工作，如此操作产生的最直接后果就是引发设备的物理损坏。

TRITON是一款成熟的恶意软件

首先，攻击者在获得SIS工作站的访问权限后就立即部署了TRITON攻击框架。这意味着TRITON在正式投入攻击活动之前就已经经历了大量的测试，如此才能够保证在成功部署后，就能够直接造成破坏。

其次，TRITON还包含了一个“安全”机制，可用来覆盖在SIS控制器上的操作痕迹，以达到消除关于设备被篡改线索的目的。

最后，通常来讲，SIS工作站是一个独立的控制系统。它的所处的网络系统独立于其他网路系统，并位于DMZ防火墙背后。这意味着从某种意义上来说，它应该是极其安全的。但事实证明，TRITON有能力打破这个常理上的“安全”。

黑客组织或由国家政府赞助

FireEye表示，虽然还没有能够将这起攻击事件中的黑客组织与目前所追踪的任何一个已知黑客组织联系起来。但他们有足够的理由相信，这个黑客组织的背后有某个国家政府的支持。

第一个理由来自该组织将攻击目标设定为关键基础设施，并且攻击表现出了持久性;第二个原因来自该组织并没有直接勒索赎金的举动，这表明发动攻击并不是处于经济目的;最后也是最主要的理由，攻击中所使用的攻击框架需要大量的技术资源，这并不是一些小型黑客组织所具备的。

FireEye解释说，以关键基础设施为攻击目标，破坏、贬低或摧毁系统，这与俄罗斯、伊朗、朝鲜、美国和以色列的国家黑客组织在全球进行的大量攻击和间谍活动是一致的。这种攻击活动通常并不一定意味着立即就会破坏目标系统，而很可能正在为更大规模的攻击活动做准备。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。