工控系统恶意软件Trisis让安全界“寝食难安”

E安全1月28日讯 2017年下半年,恶意软件Trisis(又称为TRITON)利用了施耐德Triconex 安全仪表控制系统(SIS,Safety Instrumented System)零日漏洞对中东一家石油天然气工厂发起网络攻击,导致工厂停运。安全研究人员表示,这起事件堪称“分水岭”,其它黑客可能会复制这种模式实施攻击。

事件回顾

2017年8月,沙特阿拉伯一家是石油天然气工厂的员工发现,工厂的工业设备在正常工作时间停止运作最终迫使整个工厂停运。这家公司随即开始检查连接到这些工业设备的工作站,直到技术人员发现一个奇怪的文件“trilog.exe.”,该文件看似来自施耐德电气公司(施耐德电气正是该工厂的技术供应商)。

最初,技术人员认为这可能是软件问题,于是请求施耐德予以协助。同一时间,该公司还通知了全球最大的石油天然气公司沙特阿美石油公司(Saudi Aramco)。尽管阿美公司不负责这家工厂的日常运营,但与这家工厂的业务有利害关系,并于2017年8月底指派工程师团队检查电脑。五年前阿美公司曾响应过Shamoon攻击,因此它清楚有必要彻底调查可疑文件。

不久之后,施耐德电气和阿美公司的专家认识到,trilog.exe远比表面看到的要复杂。乍一看,该文件的组成部分包含合法施耐德电气软件的元素,进一步调查后就会发现它并非施耐德的软件,实际上Trilog.exe与附带的文件Library.zip携带着具有毁灭功能的恶意软件。

2017年8月29,阿美公司的员工将这款恶意软件的代码上传到VirusTotal 扫描,至此首次公开了Trisis恶意软件。

2017年9月初,这家受害公司请求FireEye旗下Mandiant部门协助调查。FireEye 曾在2012年协助调查Shamoon攻击,有相关经验。Mandiant经过调查后发现一款更危险的网络武器,并且可能由政府黑客开发。最初的Trisis攻击实际上以失败告终,攻击者犯下了一个配置错误,导致这家工厂的机器在检测到异常后进入故障安全模式,自动关闭。

研究人员认为,攻击者欲使用Trisis造成物理破坏。机器进入故障安全模式可能避免了一场灾难,因为它限制了这款恶意软件的攻击潜力。目前仍不清楚恶意软件Trisis当初是如何进入这家公司的网络。FireEye认为,最初的感染途径可能是网络钓鱼电子邮件或武器化U盘。

各路安全专家踏上解谜之路

Trisis浮出水面已过去四个多月,网络安全分析师仍未解开Trisis幕后黑手的身份之谜。自2017年8月以来,沙特阿拉伯公共部门和私营部门的研究人员一直在研究Trisis的渗透者。 Trisis这类恶意软件专门设计用来破坏工控系统(ICS),操纵ICS可能造成破坏性影响。如今,这起事件的规模及影响日益凸显。多名政府官员和研究团队将这款恶意软件称之为“下一代网络武器”,它属于一种相当危险的工具,它的存在加剧了全球数字军备竞赛。

2017年9月至12月的线索表明,一起出现配置错误的复杂网络攻击会导致设备关闭。目前可以确定的是,Trisis是一个多阶段恶意软件框架,它与安全研究界之前所了解的恶意软件不同。Trisis被认为是第5个专门针对ICS恶意软件变种,其它此类恶意软件包括CrashOverride(2016年攻击乌克兰变电站)和最臭名昭著的震网病毒Stuxnet(2010年破坏伊朗核电站)。

美国网络安全公司Dragos 威胁情报总监塞尔吉奥·卡尔塔吉龙表示,Trisis的影响不难理解。它是首款能远程让民用基础设施进入不安全状态的恶意软件,可能引起工厂关闭或者使人受伤。这起事件再次说明研究人员面临取证困难,但同时也凸显出调查的复杂性和冲突。

Trisis与Stuxnet有什么区别?

专家指出,Trisis能使施耐德的Triconex安全仪表系统(SIS)发生故障。Triconex SIS是一款逻辑控制器,主要用来管理核电厂、石油天然气生产工厂和造纸厂的物理设备。

一位调查知情人士描述了遭遇Trisis感染的SIS系统的运作情况:

Trisis的工作方式与Stuxnet类似。据悉,美国间谍使用Stuxnet影响了核离心机的速度,最终破坏核设施。一些历史学家认为,Stuxnet行动在一段时间内使伊朗核武器发展倒退数年。

首款专门针对安全仪表系统的恶意软件

与Stuxnet一样,Trisis有能力操纵旋转组件的转速。网络安全公司表示,与国家有关联的黑客组织过去曾尝试使用各类针对ICS的恶意软件。包括Stuxnet、Havex、Blackenergy2、Crashoverride。

Dragos的首席执行官兼创始人罗伯特·李表示,只有三款恶意软件对工业环境造成破坏,只有两款恶意软件一直将目标瞄向民用工业基础设施。而Trisis属于另一类ICS恶意软件。Trisis是首款专门针对安全仪表系统的恶意软件。CrashOverride针对的是电网,而Trisis针对的是旨在保护人身安全的系统,这将是工程界的“分水岭”。

Trisis难倒安全界

Mandiant参与调查之时,Dragos在发现trilog.exe.后也开始挖掘。此后,Dragos联系了美国国土安全部(DHS),告知其这款恶意软件具备危险的功能。除了Dragos,施耐德也联系了DHS,并提供了了相关信息。经DHS一名发言人证实,DHS获取了Trisis样本,但拒绝透露获取样本的途径及时间。

美国官员希望了解相关信息,美国数千家工业工厂部署了Triconex SIS产品,他们担心Trisis可能会潜在影响美国的关键基础设施。FireEye 2017年11月底向DHS提供了Trisis细节,此后于12月14日发布博文详述Trisis恶意软件。Dragos也在同一天发布研究报告。2017年12月18日,美国国家网络安全和通信整合中心(NCCIC)也发布了Trisis恶意软件分析报告。

美国方面的调查尚无结果

查看Trisis样本的消息人士透露,Trisis非常难分析,其完整的文件库通过五种不同的编程语言构建,仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士透露,Trisis甚至难倒了美国国家安全局(NSA)的分析师。美国国家情报总监办公室和NSA拒绝对此发表评论。

李表示,目前为止发布的所有报告均是基于这款恶意软件做出的分析,要更深入挖掘,还需购买Triconex系统进行测试。消息人士预测,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与Trisis相匹敌的恶意软件。Trisis的设计相当复杂,价值可达数百万美元。真正看过Trisis代码的人就会知道需要投入大量研究和测试工作。

Trisis代码中隐藏的技术指示器显示,这款恶意软件的开发时间至少可追溯至2016年6月。FireEye和Dragos仍在继续分析这款恶意软件。此外,据消息人士透露,DHS和NSA也在继续研究Trisis。

幕后黑手仍是谜团

虽然FireEye和Dragos均认为Trisis出自国家支持型黑客之手,但进一步分析并未发现确凿的证据。Trisis内各种不同的编码指示器从未出现过,任何已知的黑客组织也未使用过这些编码指示器,分析师毫无头绪。

2017年11月,熟悉这起攻击事件的美国政府、承包商及情报官员一直在讨论Trisis的幕后黑手是否是国家或由某个国家开发之后交给另一国政府。据他们推测,Trisis是俄罗斯和伊朗合作的成果,但却缺乏证据支撑这样的推断。

美国政府目前的归因能力还有很大的提升空间,这一点在Trisis案例中体现得更为明显。每个人都致力于找到答案,但却无人有能力给出答案。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180130A0WNC800?refer=cp_1026

扫码关注云+社区