網路安全威脅大事件：第一款攻擊ICS工業控制安全系統的惡意軟體

第一款攻擊ICS工業控制安全系統的惡意軟體 “TRITON。TRISIS。HatMan”

美國東部時間下午1點30分/2018/3/15，Ann R。 Thryft釋出一條Twitter推特

注：Ann R。 Thryft （EETimes工業控制和運算、自動化設計的編輯）

美國國土安全部/聯邦調查局聯合技術預警組織在不到兩個月的時間裡確認了針對工業控制系統的網路攻擊事件，“一種針對工業生產程序及設施的新型惡意軟體攻擊了一個國家關鍵基礎設施”

“TRITON。TRISIS。HatMan”惡意軟體是第一個設計用來攻擊工業工廠安全系統的惡意軟體。

自襲擊發生以來，安全公司和安全系統供應商已經對攻擊和惡意軟體提供了詳細的分析。

著名的網路安全公司FireEye公司旗下的美國麥迪安網路安全公司Mandiant的網路安全服務團隊在去年12月的一篇部落格中寫道，當新的惡意軟體控制了一臺執行施耐德電氣Triconex安全儀器系統（SIS）的工作站時，它對攻擊做出了迴應。

施耐德電氣的SIS系統應用在石油和天然氣工廠和核設施中，監控關鍵的工業過程並在超過安全限制的情況下自動關閉。

這款名為TRITON的新惡意軟體試圖對SIS控制器進行重新程式設計。

SIS控制器進入了故障安全模式，關閉了工廠生產流程，識別出了外部攻擊併發出警報資訊給管理員。

FireEye部落格說， TRITON惡意軟體可以阻止安全系統按計劃操作，這可以導致嚴重的系統程序崩潰的後果，再配合其他型別的惡意軟體如Stuxnet和Industroyer，可以導致系統資料被覆蓋及伺服器運算崩潰，將嚴重擾亂ICS工業控制系統和基礎設施系統，如能源生產和供水系統的執行。

典型的工業控制系統ICS

儘管FireEye沒有能辨別出此次攻擊者、以及網路IP地址，但它表示，此次攻擊具有某個地域國家的典型網路攻擊操作特徵，而不是一般的網路犯罪及駭客，其目的是“破壞、削弱或摧毀地方系統的關鍵基礎設施”，而沒有明確的利益目的。

網路安全措施的安全控制被設計來防止駭客的系統攻擊，網路攻擊者必需要很注重在如何繞過安全控制系統

在這種情況下，攻擊者需要足夠的專業技術知識來理解在被攻擊企業的系統中由SIS控制的特定控制程式、如何作業系統、以及在如何控制特定的SIS控制器。

當TRITON在SIS控制器上修改了應用程式記憶體時，這可能導致了在系統冗餘處理單元之間的應用程式程式碼的驗證校驗程式失敗，從而觸發了控制器的安全關閉。

該惡意軟體使用了施耐德電氣的專有的TriStation協議與SIS控制器進行互動。

由於該協議沒有公開的文件，這表明攻擊者已經對該協議進行了逆向工程並破解了該通訊協議。

施耐德Triconex安全平臺

施耐德TRICONEX 可搭載三款獲得TUV認證的安全控制平臺：Tricon、Trident、Tri-GP

Tricon 安全平臺

Trident 安全平臺

Tri-GP 安全平臺

FireEye的網路安全專家Dragos表示，這次攻擊是針對中東地區的一家公司發起的。

該公司CEO Robert M。 Lee在部落格中寫道，這款名為TRITON。TRISIS的惡意軟體是“第五款專門針對ICS工業系統的惡意軟體，也是第一個直接針對SIS控制器的惡意軟體”，這是一個重要的標誌事件。

實現對SIS的攻擊是前所未有的一次非常大膽的攻擊，但在技術上並不複雜

恰巧的是與一般最佳的安全控制模式不同的是，Triconex SIS控制器的關鍵開關設定為程式判斷模式，而不是常駐執行模式，這也有效的阻止了程式的被更改。但Triconex SIS並不是簡單脆弱的系統，只不過剛好被選中，因為被攻擊的這家公司在使用Triconex SIS。但是ICS的安全性卻沒有受到威脅，因為SIS控制器及時執行了安全的系統關閉。