安全動態(tài)

新型工控惡意軟件 Triton 首次曝光,幕后團隊疑有“國家資助”

來源:聚銘網絡    發(fā)布時間:2017-12-16    瀏覽次數(shù):
 

信息來源:hackernews

據外媒報道,美國網絡安全公司 FireEye 發(fā)現(xiàn)了一種專門針對工業(yè)控制系統(tǒng)( ICS )的新型惡意軟件 Triton ,旨在破壞關鍵基礎設施中廣泛使用的 Triconex 安全控制器,通過掃描和映射工業(yè)控制系統(tǒng)環(huán)境,以便直接向 Tricon 安全控制器提供偵察和發(fā)布命令。相關專家推測,鑒于經濟動機和攻擊的復雜程度,可能有國家資助的相關群體參與其中。

施耐德電氣的 Triconex 安全檢測系統(tǒng)( SIS )控制器主要用于核電站、煉油、石化、化工和其它過程工業(yè)的安全和關鍵單元提供連續(xù)的安全聯(lián)鎖和保護、工藝監(jiān)視,并在必要時安全停車。這次調查中 FireEye 沒有將 Triton 攻擊與任何已知的 APT ( 高級持續(xù)性威脅 ) 組織聯(lián)系起來。專家認為此次事件是偵察活動的一部分,而且它與之前發(fā)生在全球的許多攻擊和偵察活動一致。

image017121601

定制級惡意軟件針對工控系統(tǒng),幕后團隊疑有“國家資助”

FireEye 表示, 黑客組織正在培養(yǎng)其造成物理損壞和在無意中關閉操作的能力,一旦他們獲得 SIS 系統(tǒng)的訪問權限,就會趁機部署 Triton 惡意軟件,這一情況表明攻擊者對 SIS 系統(tǒng)有一定的了解,因為根據 FireEye 的說法,攻擊者需要事先編寫和測試黑客工具,而該工具需要訪問的硬件和軟件并不被外界廣泛使用。此外,Triton 也被設計為利用未公開記錄的專有 TriStation 協(xié)議進行通信,這意味著攻擊者反向設計協(xié)議來執(zhí)行攻擊。Triton 惡意軟件與 Triconex SIS 控制器相互作用, 從而具有讀寫程序和控制器的功能。

知情人士透露,攻擊者還在基于 Windows 的工程工作站上部署了 Triton 惡意軟件并偽裝成合法的 Triconex Trilog 應用程序用于檢查日志。若出現(xiàn)故障,該惡意軟件則會嘗試將控制器恢復到運行狀態(tài);若嘗試失敗,也會使用垃圾數(shù)據覆蓋惡意程序,并且可能會刪除攻擊痕跡。

image2017121602

相關人士透露,Triton 惡意軟件對 SIS 控制器的攻擊非常危險。一旦控制器被攻破,黑客就可以重新編程設備,以觸發(fā)安全狀態(tài),并對目標環(huán)境的操作產生巨大影響。此外,攻擊者也可以對重新編寫 SIS 控制器程序 ,以避免在參數(shù)呈現(xiàn)危險值時觸發(fā)操作。倘若 SIS 和 DCS 控制失敗,那么就會觸發(fā)最后一道防線 ——工業(yè)設施,其中包括設備的機械保護(例如破裂盤)、物理警報、應急反應程序和其他緩解危險情況的機制。

FireEye 表示, 黑客似乎對 SIS 造成高強度的攻擊并帶來物理傷害非常感興趣,這在典型的網絡犯罪團體中并不常見。在 FireEye 檢測到的這次攻擊中,黑客在觸發(fā) SIS 控制器啟動“安全關閉”功能后終止了操作,因此專家們推測攻擊者可能是在偵查階段無意觸發(fā)了控制器。

施耐德電氣發(fā)布安全警告

目前,施耐德電氣已經意識到 Triton 惡意軟件是針對單個客戶 Triconex Tricon 安全關閉系統(tǒng)的定向攻擊事件,官方正在調查這些黑客組織是否利用了 Triconex 產品中的漏洞,并且表示會積極與其客戶、網絡安全組織和 ICS CERT 密切合作,以降低此類攻擊風險。與此同時,施耐德發(fā)布了一項安全警告, 建議避免將 Triconex 控制器鑰匙開關處于 “ Program ” 模式,因為在此模式下攻擊者能夠通過惡意軟件傳送 playload。

盡管多年來全球報告了大量的工控系統(tǒng)感染事件,但當時專家也只檢測到幾種專門針對 ICS 定制的惡意軟件:Stuxnet、 Havex, BlackEnergy2、 IRONGATE 和 Industroyer 。 FireEye 公司已將識別出的惡意軟件樣本同步給其他網絡安全公司,主流安全產品目前應該是能夠檢測出一些威脅變種的。

 
 

上一篇:2017年12月15日 聚銘安全速遞

下一篇:陳肇雄出席首屆中國網絡安全產業(yè)高峰論壇