Triton恶意软件瞄准中东地区的工业控制系统

Tom Spring 2017.12.15

研究人员在位于中东地区的一家公司的工业控制系统上发现了名为Triton的恶意软件。研究人员说，攻击者种植了Triton（也被称为Trisis），意在对一家不知名的公司实施“高强度攻击（high-impact attack）”，目的是造成物理设备损害。

FireEye的Mandiant威胁研究小组星期四揭露了该恶意软件。 他们表示Triton背后的敌手是针对施耐德电气（Schneider Electric）销售的Triconex安全仪表系统控制器。

研究人员正在比较针对工业控制系统的Triton和“震网病毒事件”中使用的恶意软件。

研究人员在一篇博客文章中概述了他们的研究成果，他说：“Triton是Stuxnet和Industroyer的后继者，2010年的Stuxnet被使用来针对伊朗。，我们认为2016年由Sandworm Team开发部署的Industroyer是用来针对乌克兰的。“Triton与这些攻击是一致的，因为它可以阻止安全机制执行其预定功能，从而产生某些严重的物理后果。”

施耐德电气（Schneider Electric）周三给他的顾客预警了Triton恶意软件的存在（PDF）。

该公司在一份声明中说：“施耐德电气已经意识到了针对单个客户的Triconex Tricon安全关闭系统的定向事件。我们正在与我们的客户（独立网络安全组织和ICSCERT）密切合作，调查和降低此类攻击的风险。 虽然有证据表明这是一个独立事件，不过并不是因为Triconex系统或其程序代码中的漏洞的原因。我们仍在继续调查是否有更多的攻击向量（vectors）”。

据Dragos的研究人员称，上个月发现了恶意软件Triton，恶意软件Triton攻击的是Triconex安全仪表系统（SIS），攻击手段是打开最终控制元素压力的置换功能（enabling the replacement of logic in final control elements）。

“目前还不知道Trisis带来的潜在的安全风险是什么。最终控制元素的压力变化意味着可能存在安全风险，因为当安全系统在不安全的情况下不论控制过程与否都可能改变设定点（set points）。”，Dragos在报告中详细分析了恶意软件 。

根据FireEye的说法，Triton伪装成用于查看系统日志的合法Triconex Trilog应用程序。研究人员写道：“恶意软件是由Py2EXE编译的python脚本以及攻击者开发的Triconex攻击框架生成的，其中python脚本依赖于标准Python库（一个开源库），而Triconex攻击框架则用于与Triconex控制器交互。

Triton攻击场景是使用恶意软件关闭处于安全状态的Triconex SIS进程。影响的将是造成工厂运营的中断和服务停机。

Mandiant的研究人员指出，攻击者还可以重新编程SIS控制器让它在不安全的环境中不被关闭，从而造成人身安全或设备损坏的潜在威胁。

这里的每个攻击情景都假定是攻击者已经在目标系统上种下恶意软件了。

总结一下，攻击者可以操纵Triconex的分布式控制系统来创建不安全的条件，于此同时编程SIS控制器让它在不安全的环境中继续工作，从而造成人身安全或设备损坏的潜在威胁。

研究人员说：“FireEye没有把这次攻击活动和我们目前跟踪的任何参与者联系起来。然而，我们有充分的信心相信这个参与者是由某个民族国家赞助的”。Mandiant的研究人员说：“我们有充分的信心认为，攻击者正在开发造成具有物理破坏和无意中关闭操作能力的恶意软件”。

Dragos说Triton对工业控制系统和特殊安全系统有着“改变游戏规则”的影响。德拉戈斯研究人员说：“瞄准SIS设备这次事件代表了ICS计算机网络攻击中的一个危险的演变。造成的潜在影响包括设备损坏，系统停机和潜在的人身安全威胁。给出这些影响说明后，重要的是行业能不能对这种攻击进行认真的讨论和采取一些行动来”。

施耐德在咨询中提供了多种检测和缓解措施，包括确保将Triconex系统部署在隔离网络上，并将对提前连接到该网络的USB驱动器，CD或笔记本电脑进行恶意软件扫描。

原文链接：https://threatpost.com/triton-malware-targets-industrial-control-systems-in-middle-east/129182/
本文由看雪翻译小组 knowit 编译