没想到吧!让中东工厂停运的工控恶意软件Triton只是个实验品!

  E安全6月11日讯2017年8月,中东某家石油天然气工厂遭遇黑客攻击停运,罪魁祸首是被称为最强的工控恶意软件TRITON(又称为Trisis和HatMan)。

  FireEye对该软件进行深入研究后表示,Triton的开发者复用了现成代码,且其开发者甚至对Triton的功能及破坏性尚不够了解,此前造成能源工厂停运,很可能只是个“意外”。

  TRITON的厉害之处在于其完整的文件库通过五种不同的编程语言构建,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与Trisis相匹敌的恶意软件,至今该软件的构造及其背后的黑客组织Xenotime身份至今仍是个迷。这款恶意软件被指与伊朗有关,最近Xenotime被发现已扩大攻击目标范围。

  FireEye的实践团队(AdvancedPracticesTeam)对Triton进行了详细分析,将其描述为一款恶意软件框架,并研究判断它的创建时间和创建方式。

  在Triton恶意软件让能源工厂停运的那起事件中,Triton当时利用的是影响TriconexSIS多个老旧版本的一个0day漏洞。攻击者以施耐德电气公司的Triconex安全仪表系统(SIS)控制器为目标,该控制器使用了专有的TriStation网络协议,此协议旨在为个人计算机(如工程工作站)和Triconex控制器之间的通信而设计。由于这个协议并不存在公开的文档说明,因此并不容易理解,不过施耐德电气公司已通过TriStation1131软件套件执行了它。

  目前尚不清楚攻击者是如何获得测试Triton的硬件和软件。FireEye表示,它们可能是从某个政府实体购买或借取的,也有可能软件是从使用Triconex控制器的工控公司或其它组织机构盗取的。

  FireEye的研究人员认为,Triton恶意软件的开发者并不是从零开始构建TriStation通信组件,而是从合法库中复制了代码。例如,研究人员发现Triton恶意软件中的代码与一款文件名为“tr1com40.dll”的合法的TriStation软件文件代码之间存在多个相似点。

  虽然通过逆向合法的DLL文件可能有助于攻击人员理解TriStation的工作原理,但Triton中的代码表明开发人员并未全部理解它。

  对TriStation的工作原理的不完全理解,极可能导致攻击者在攻击相关组织机构的关键基础设施中遇到问题,且Triton恶意软件的发现就是因为攻击者在攻击过程中,不慎导致SIS控制器触发安全关闭之后被曝光。

  安全专家认为,攻击者之前可能一直在进行测试,试图判断哪些条件才能造成物理损害。

  FireEye的报告指出,6个月前尚未出现针对Triconex系统的恶意攻击,此后可能还会出现如Triton等可以合理用于其它SIS控制器和相关技术的框架。如果Triconex在这个范围内,那么未来可能会看到类似的攻击方法,或将影响主要的工业安全技术。

  工业网络安全公司Dragos最近表示,Triton攻击的幕后组织Xenotime仍在活跃,除施耐德的Triconex外,该组织还针对全球各地的其他组织机构的安全系统发动攻击。

您可能还会对下面的文章感兴趣: