随着“Triton”(也称为“Trisis”)的出现,对工业基础设施的计算机攻击刚刚达到了一个新的里程碑,这是一种非常复杂的恶意软件,其目的是造成物质甚至人员损害。它是在位于中东的一个工业场所的 Windows 工作站上检测到的。安全研究人员的分析火眼和的德拉戈斯揭示了其目标过程安全系统三角锥施耐德电气集团。
这些系统(也称为安全仪表系统 (SIS))非常重要,因为它们在整个工业过程中持续监控设备的状态。如果发现这种情况不正常,Triconex 产品将确保设备恢复安全运行。例如,如果温度过高,他们可以停止将气体引入炼油罐。如果危及操作员的生命,甚至停止机器的旋转。据施耐德电气称,Triconex 系统已在全球范围内部署超过 18,000 次,涉及石化、能源、机械、航空等各个领域。
Triton 所在的工作站被用来对 Tritonex 系统进行远程编程,使用的是名为 Trilog 的软件。恶意代码的设计方式是可以取代 Trilog,直接与 Tritonex 系统通信并修改其控制逻辑。
这些修改很容易导致工业场地关闭。但显然,黑客有一个更具体的目标,但由于恶意代码中的错误而未能实现。鉴于所做的努力,FireEye 认为黑客可能正在寻求发起可能造成最大物理损害的攻击。如何 ?在对 Triconex 系统重新编程后,导致工业现场运行不安全,使其不会干扰这种情况。应该指出的是,Triton 不会利用施耐德电气产品中的任何错误或安全漏洞。正是工作站被感染,黑客才得以访问该安全设备。
非常有针对性的攻击
那么,我们应该担心世界各地工厂遭到破坏的浪潮吗?不,因为 Triton 是一种针对性极强的攻击。 Tritonex 系统的控制逻辑与其要监控的工业过程密切相关。为了进行这样的操作,黑客必须对这个工业过程有深入的了解。“针对 SIS 和有针对性的处理安装所需的知识水平非常高,并且可能不可能通过纯粹的网络间谍手段获得””,德拉戈斯解释道,同时补充说,这需要“长期且高素质的入侵”。这就是为什么 FireEye 认为创建此恶意软件的攻击者可能受某个州甚至某个政府机构的命令。
无论如何,这个故事证明黑客在工业领域变得越来越熟练。根据 Dragos 的说法,Triton 是第五种专门针对工业设备进行黑客攻击的已知恶意软件,但也是第一个攻击过程安全系统的恶意软件。在他之前,有震网病毒(破坏伊朗核设施),哈维克斯(欧洲能源部门的间谍活动),黑色能量等崩溃覆盖(入侵乌克兰电网)。该系列还没有准备好结束。
