络安全威胁大事件：第一款攻击ICS工业控制安全系统的恶意软件

第一款攻击ICS工业控制安全系统的恶意软件 “TRITON.TRISIS.HatMan”

美国东部时间下午1点30分/2018/3/15，Ann R. Thryft发布一条Twitter推特

美国国土安全部/联邦调查局联合技术预警组织在不到两个月的时间里确认了针对工业控制系统的 络攻击事件，”一种针对工业生产进程及设施的新型恶意软件攻击了一个国家关键基础设施”

“TRITON.TRISIS.HatMan”恶意软件是第一个设计用来攻击工业工厂安全系统的恶意软件。

自袭击发生以来，安全公司和安全系统供应商已经对攻击和恶意软件提供了详细的分析。

著名的 络安全公司FireEye公司旗下的美国麦迪安 络安全公司Mandiant的 络安全服务团队在去年12月的一篇博客中写道，当新的恶意软件控制了一台运行施耐德电气Triconex安全仪器系统（SIS）的工作站时，它对攻击做出了回应。

施耐德电气的SIS系统应用在石油和天然气工厂和核设施中，监控关键的工业过程并在超过安全限制的情况下自动关闭。

这款名为TRITON的新恶意软件试图对SIS控制器进行重新编程。

SIS控制器进入了故障安全模式，关闭了工厂生产流程，识别出了外部攻击并发出警 信息给管理员。

FireEye博客说, TRITON恶意软件可以阻止安全系统按计划操作,这可以导致严重的系统进程崩溃的后果,再配合其他类型的恶意软件如Stuxnet和Industroyer,可以导致系统数据被覆盖及服务器运算崩溃,将严重扰乱ICS工业控制系统和基础设施系统,如能源生产和供水系统的运行。

典型的工业控制系统ICS

尽管FireEye没有能辨别出此次攻击者、以及 络IP地址，但它表示，此次攻击具有某个地域国家的典型 络攻击操作特征，而不是一般的 络犯罪及黑客，其目的是”破坏、削弱或摧毁地方系统的关键基础设施”，而没有明确的利益目的。

络安全措施的安全控制被设计来防止黑客的系统攻击， 络攻击者必需要很注重在如何绕过安全控制系统

在这种情况下，攻击者需要足够的专业技术知识来理解在被攻击企业的系统中由SIS控制的特定控制程序、如何操作系统、以及在如何控制特定的SIS控制器。

当TRITON在SIS控制器上修改了应用程序内存时，这可能导致了在系统冗余处理单元之间的应用程序代码的验证校验程序失败，从而触发了控制器的安全关闭。

该恶意软件使用了施耐德电气的专有的TriStation协议与SIS控制器进行交互。

由于该协议没有公开的文档，这表明攻击者已经对该协议进行了逆向工程并破解了该通讯协议。

施耐德Triconex安全平台

施耐德TRICONEX 可搭载三款获得TUV认证的安全控制平台：Tricon、Trident、Tri-GP

Tricon 安全平台

Trident 安全平台

Tri-GP 安全平台

FireEye的 络安全专家Dragos表示，这次攻击是针对中东地区的一家公司发起的。

该公司CEO Robert M. Lee在博客中写道，这款名为TRITON.TRISIS的恶意软件是”第五款专门针对ICS工业系统的恶意软件，也是第一个直接针对SIS控制器的恶意软件”，这是一个重要的标志事件。

实现对SIS的攻击是前所未有的一次非常大胆的攻击，但在技术上并不复杂

恰巧的是与一般最佳的安全控制模式不同的是，Triconex SIS控制器的关键开关设置为程序判断模式，而不是常驻运行模式，这也有效的阻止了程序的被更改。但Triconex SIS并不是简单脆弱的系统，只不过刚好被选中，因为被攻击的这家公司在使用Triconex SIS。但是ICS的安全性却没有受到威胁，因为SIS控制器及时执行了安全的系统关闭。

TRISIS.TRITON 恶意软件处于ICS 络攻击链的第二阶段

这意味着攻击者已经通过识别攻击的特定控制器及其硬件和固件，以及访问相同的硬件来开发和测试他们的代码来进行侦测。

但 告称，TRITON.TRISIS改变了 络攻击的游戏规则，因为”瞄准SIS设备代表了计算机 络攻击向专业大型工业控制系统攻击的危险演变。”可能造成的潜在影响包括设备损坏，系统停机，以及潜在的生命损失。

袭击发生几天后，美国国土安全部发布了一份恶意软件分析 告，称该恶意软件”哈特曼HatMan”（”TRITON.TRISIS.HatMan”）

在1月的S4x18安全会议上，施耐德电气展示了自己对这次袭击的调查以及对TRITON的分析。

其中包括在恶意软件中发现了一个远程访问特洛伊木马（RAT），这是第一个感染SIS设备的恶意软件，以及在SIS固件中有一个零日期漏洞，恶意软件利用这个漏洞将RAT植入到控制器的内存中。

TRISIS/TRITON恶意软件攻击施耐德电气Triconex安全仪器系统（SIS）的流程

施耐德电气的 络安全与架构主管安德鲁克林在 告中说：”恶意软件的意图是安装这个木马，使得攻击者可以在SIS控制器基础上进行读写操作”

络安全公司CyberX的安全威胁情 团队在一封电子邮件中写道， 络安全公司CyberX已经对TRITON恶意软件进行了独立的逆向工程。

“我们相信，木马后门的目标是让用户能够持续访问控制器，即使在运行模式下，也是可以切换控制器的内存读取保护机制” “我们认为，这次攻击的目的是为了摧毁安全系统，为第二次 络攻击打下基础，对设施本身造成灾难性的破坏，可能会造成大规模的环境破坏和人类生命的损失。”

注： 络安全威胁已经无处不在，不只是个人随身数码产品、消费类电子产品、家用电器、物联 设备，已经开始在 会和国家重要的工业生产及基础设施系统中产生了巨大的安全威胁隐患，一旦 络攻击，将瘫痪一个国家的重要基础设施，以及重要的工业生产。这将是越来越值得重视的问题。