沒想到吧！讓中東工廠停運的工控惡意軟體Triton只是個實驗品！

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月11日訊 2017年8月，中東某家石油天然氣工廠遭遇黑客攻擊停運，罪魁禍首是被稱為最強的工控惡意軟體 TRITON（又稱為Trisis和 HatMan）。

FireEye 對該軟體進行深入研究後表示，Triton 的開發者復用了現成代碼，且其開發者甚至對Triton的功能及破壞性尚不夠了解，此前造成能源工廠停運 ，很可能只是個「意外」。

關於 TRITON

TRITON 的厲害之處在於其完整的文件庫通過五種不同的編程語言構建，一支專業的惡意軟體開發團隊也需要花上一年時間才能開發出與 Trisis 相匹敵的惡意軟體，至今該軟體的構造及其背後的黑客組織 Xenotime身份至今仍是個迷。這款惡意軟體被指與伊朗有關，最近 Xenotime 被發現已擴大攻擊目標範圍。

FireEye 的實踐團隊 （Advanced Practices Team）對 Triton 進行了詳細分析，將其描述為一款惡意軟體框架，並研究判斷它的創建時間和創建方式。

在 Triton 惡意軟體讓能源工廠停運的那起事件中，Triton 當時利用的是影響 Triconex SIS 多個老舊版本的一個 0day 漏洞。攻擊者以施耐德電氣公司的 Triconex 安全儀錶系統（SIS）控制器為目標，該控制器使用了專有的 TriStation 網路協議，此協議旨在為個人計算機（如工程工作站）和 Triconex 控制器之間的通信而設計。由於這個協議並不存在公開的文檔說明，因此並不容易理解，不過施耐德電氣公司已通過 TriStation 1131 軟體套件執行了它。

目前尚不清楚攻擊者是如何獲得測試 Triton 的硬體和軟體。FireEye 表示，它們可能是從某個政府實體購買或借取的，也有可能軟體是從使用 Triconex 控制器的工控公司或其它組織機構盜取的。

FireEye 的研究人員認為，Triton 惡意軟體的開發者並不是從零開始構建 TriStation 通信組件，而是從合法庫中複製了代碼。例如，研究人員發現 Triton 惡意軟體中的代碼與一款文件名為「tr1com40.dll」 的合法的 TriStation 軟體文件代碼之間存在多個相似點。

雖然通過逆向合法的 DLL 文件可能有助於攻擊人員理解 TriStation 的工作原理，但 Triton 中的代碼表明開發人員並未全部理解它。

攻擊者碰「巧讓」能源公司停運

對 TriStation 的工作原理的不完全理解，極可能導致攻擊者在攻擊相關組織機構的關鍵基礎設施中遇到問題，且 Triton 惡意軟體的發現就是因為攻擊者在攻擊過程中，不慎導致 SIS 控制器觸發安全關閉之後被曝光。

安全專家認為，攻擊者之前可能一直在進行測試，試圖判斷哪些條件才能造成物理損害。

FireEye的報告指出，6個月前尚未出現針對 Triconex 系統的惡意攻擊，此後可能還會出現如 Triton 等可以合理用於其它 SIS 控制器和相關技術的框架。如果 Triconex 在這個範圍內，那麼未來可能會看到類似的攻擊方法，或將影響主要的工業安全技術。

工業網路安全公司 Dragos 最近表示， Triton 攻擊的幕後組織 Xenotime 仍在活躍，除施耐德的 Triconex 外，該組織還針對全球各地的其他組織機構的安全系統發動攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！