新型工控恶意软件“TRITON”攻击施耐德控制器

FireEye麦迪安调查部门的安全研究人员发现一款针对工控系统（ICS）的恶意软件——“TRITON”，该软件瞄准施耐德电气公司Triconex安全仪表控制系统（Safety Instrumented System，SIS）控制器，造成一家能源工厂停运，幕后黑手疑似为国家支持型攻击者。

第一起攻击工业厂房的工控安全事件

TRITON攻击让工厂的所有设备在安全系统正在被破坏的情况下还能显示正常，这是黑客成功入侵工控安全系统的第一起正式报告。

火眼和施耐德均拒绝说出受害者的身份和位置。但有安全公司认为这家能源工厂位于中东，而另一家安全司CyberX则更进一步指出是沙特阿拉伯。

工控系统（ICS）的恶意软件——“TRITON”分析

Triton 恶意软件对 SIS 控制器的攻击非常危险。一旦控制器被攻破，黑客就可以重新编程设备，以触发安全状态，并对目标环境的操作产生巨大影响。

此外，攻击者也可以对重新编写 SIS 控制器程序 ，以避免在参数呈现危险值时触发操作。倘若 SIS 和 DCS 控制失败，那么就会触发最后一道防线 ——工业设施，其中包括设备的机械保护(例如破裂盘)、物理警报、应急反应程序和其他缓解危险情况的机制。

工控系统（ICS）的恶意软件——“TRITON”存在的意义

施耐德电气的 Triconex 安全检测系统( SIS )控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全联锁和保护、工艺监视，并在必要时安全停车。

TRITON旨在破坏关键基础设施中广泛使用的 Triconex 安全控制器，通过扫描和映射工业控制系统环境，以便直接向 Tricon 安全控制器提供侦察和发布命令。相关专家推测，鉴于经济动机和攻击的复杂程度，可能有国家资助的相关群体参与其中。

FireEye麦迪安调查部门称：

黑客组织正在培养其造成物理损坏和在无意中关闭操作的能力，一旦他们获得 SIS 系统的访问权限，就会趁机部署 Triton 恶意软件，这一情况表明攻击者对 SIS 系统有一定的了解，因为根据 FireEye 的说法，攻击者需要事先编写和测试黑客工具，而该工具需要访问的硬件和软件并不被外界广泛使用。

此外，Triton 也被设计为利用未公开记录的专有 TriStation 协议进行通信，这意味着攻击者反向设计协议来执行攻击。Triton 恶意软件与 Triconex SIS 控制器相互作用， 从而具有读写程序和控制器的功能。

知情人士透露，攻击者还在基于 Windows 的工程工作站上部署了 Triton 恶意软件并伪装成合法的 Triconex Trilog 应用程序用于检查日志。若出现故障，该恶意软件则会尝试将控制器恢复到运行状态；若尝试失败，也会使用垃圾数据覆盖恶意程序，并且可能会删除攻击痕迹。

黑客似乎对 SIS 造成高强度的攻击并带来物理伤害非常感兴趣，这在典型的网络犯罪团体中并不常见。

在 FireEye 检测到的这次攻击中，黑客在触发 SIS 控制器启动“安全关闭”功能后终止了操作，因此专家们推测攻击者可能是在侦查阶段无意触发了控制器。

施耐德电气发布安全警告

目前，施耐德电气已经意识到 Triton 恶意软件是针对单个客户 Triconex Tricon 安全关闭系统的定向攻击事件，官方正在调查这些黑客组织是否利用了 Triconex 产品中的漏洞，并且表示会积极与其客户、网络安全组织和 ICS CERT 密切合作，以降低此类攻击风险。

与此同时，施耐德发布了一项安全警告， 建议避免将 Triconex 控制器钥匙开关处于 “ Program ” 模式，因为在此模式下攻击者能够通过恶意软件传送 playload。

（来源：网络整理）