隨著「Triton」(也稱為「Trisis」)的出現,對工業基礎設施的電腦攻擊剛剛達到了一個新的里程碑,這是一種非常複雜的惡意軟體,其目的是造成物質甚至人員損害。它是在位於中東的工業場所的 Windows 工作站上被偵測到的。安全研究人員的分析火眼和的德拉戈斯揭示了其目標製程安全系統三角錐施耐德電機集團。
這些系統(也稱為安全儀表系統 (SIS))非常重要,因為它們在整個工業過程中持續監控設備的狀態。如果發現這種情況不正常,Triconex 產品將確保設備恢復安全運作。例如,如果溫度過高,他們可以停止將氣體引入煉油槽。如果危及操作員的生命,甚至可以停止機器的旋轉。據施耐德電機稱,Triconex 系統已在全球部署超過 18,000 次,涉及石化、能源、機械、航空等各個領域。
Triton 所在的工作站被用來對 Tritonex 系統進行遠端編程,使用的是名為 Trilog 的軟體。惡意程式碼的設計方式是可以取代 Trilog,直接與 Tritonex 系統通訊並修改其控制邏輯。
這些修改很容易導致工業場地關閉。但顯然,駭客有一個更具體的目標,但由於惡意程式碼中的錯誤而未能實現。鑑於所做的努力,FireEye 認為駭客可能正在尋求發動可能造成最大物理損害的攻擊。如何 ?在對 Triconex 系統重新編程後,導致工業現場運作不安全,使其不會幹擾這種情況。應該指出的是,Triton 不會利用施耐德電機產品中的任何錯誤或安全漏洞。正是工作站被感染,駭客才得以存取該安全設備。
非常有針對性的攻擊
那麼,我們該擔心世界各地工廠遭到破壞的浪潮嗎?不,因為 Triton 是一種針對性極強的攻擊。 Tritonex 系統的控制邏輯與其要監控的工業流程密切相關。為了進行這樣的操作,駭客必須對這個工業流程有深入的了解。“針對 SIS 和有針對性的處理安裝所需的知識水平非常高,並且可能不可能通過純粹的網絡間諜手段獲得””,德拉戈斯解釋道,同時補充說,這需要“長期且高素質的入侵”。這就是為什麼 FireEye 認為創建此惡意軟體的攻擊者可能受某個州甚至某個政府機構的命令。
無論如何,這個故事證明駭客在工業領域變得越來越熟練。根據 Dragos 的說法,Triton 是第五種專門針對工業設備進行駭客攻擊的已知惡意軟體,但也是第一個攻擊製程安全系統的惡意軟體。在他之前,有震網病毒(破壞伊朗核設施),哈維克斯(歐洲能源部門的間諜活動),黑色能量等崩潰覆蓋(入侵烏克蘭電網)。該系列還沒有準備好結束。
