更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月11日訊 2017年8月,中東某家石油天然氣工廠遭遇黑客攻擊停運,罪魁禍首是被稱為最強的工控惡意軟件
TRITON(又稱為Trisis和 HatMan)。FireEye 對該軟件進行深入研究後表示,Triton 的開發者複用了現成代碼,且其開發者甚至對Triton的功能及破壞性尚不夠了解,此前造成能源工廠停運 ,很可能只是個“意外”。
關於 TRITON
TRITON 的厲害之處在於其完整的文件庫通過五種不同的編程語言構建,一支專業的惡意軟件開發團隊也需要花上一年時間才能開發出與 Trisis 相匹敵的惡意軟件,至今該軟件的構造及其背後的黑客組織 Xenotime身份至今仍是個迷。這款惡意軟件被指與伊朗有關,最近 Xenotime 被發現已擴大攻擊目標範圍。
關於惡意軟件Triton的具體研究
FireEye 的實踐團隊 (Advanced Practices Team)對 Triton 進行了詳細分析,將其描述為一款惡意軟件框架,並研究判斷它的創建時間和創建方式。
在 Triton 惡意軟件讓能源工廠停運的那起事件中,Triton 當時利用的是影響 Triconex SIS 多個老舊版本的一個 0day 漏洞。攻擊者以施耐德電氣公司的 Triconex 安全儀表系統(SIS)控制器為目標,該控制器使用了專有的 TriStation 網絡協議,此協議旨在為個人計算機(如工程工作站)和 Triconex 控制器之間的通信而設計。由於這個協議並不存在公開的文檔說明,因此並不容易理解,不過施耐德電氣公司已通過 TriStation 1131 軟件套件執行了它。
目前尚不清楚攻擊者是如何獲得測試 Triton 的硬件和軟件。FireEye 表示,它們可能是從某個政府實體購買或借取的,也有可能軟件是從使用 Triconex 控制器的工控公司或其它組織機構盜取的。
Triton 的開發者複用了現成代碼
FireEye 的研究人員認為,Triton 惡意軟件的開發者並不是從零開始構建 TriStation 通信組件,而是從合法庫中複製了代碼。 例如,研究人員發現 Triton 惡意軟件中的代碼與一款文件名為“tr1com40.dll” 的合法的 TriStation 軟件文件代碼之間存在多個相似點。
雖然通過逆向合法的 DLL 文件可能有助於攻擊人員理解 TriStation 的工作原理,但 Triton 中的代碼表明開發人員並未全部理解它。
攻擊者碰“巧讓”能源公司停運
對 TriStation 的工作原理的不完全理解,極可能導致攻擊者在攻擊相關組織機構的關鍵基礎設施中遇到問題,且 Triton 惡意軟件的發現就是因為攻擊者在攻擊過程中,不慎導致 SIS 控制器觸發安全關閉之後被曝光。
安全專家認為,攻擊者之前可能一直在進行測試,試圖判斷哪些條件才能造成物理損害。
FireEye的報告指出,6個月前尚未出現針對 Triconex 系統的惡意攻擊,此後可能還會出現如 Triton 等可以合理用於其它 SIS 控制器和相關技術的框架。如果 Triconex 在這個範圍內,那麼未來可能會看到類似的攻擊方法,或將影響主要的工業安全技術。
工業網絡安全公司 Dragos 最近表示, Triton 攻擊的幕後組織 Xenotime 仍在活躍,除施耐德的 Triconex 外,該組織還針對全球各地的其他組織機構的安全系統發動攻擊。
閱讀更多 E安全 的文章
