在其他工业设施中发现的 Trisis 恶意软件

当 Dragos 和 FireEye 的网络安全研究人员披露所谓的 Triton 恶意软件时针对工业安全系统，这是一个启示。 Triton 标志着首次发现旨在造成物理破坏的恶意软件。该代码是通过针对工业安全仪表系统来实现的，但值得庆幸的是，它并不能有效地造成灾难。

直到最近，这次袭击，也被称为“Trisis”，一直笼罩在神秘之中。对这次袭击的早期报道含糊不清。袭击发生在中东某地，可能是民族国家行为者的幕后黑手。但 Triton 也起到了警醒作用，因为它有可能在石油和天然气工厂发生紧急情况时造成大规模破坏。

PAS Global 的首席信息安全官 Jason Haward-Grau 回忆说：“在 Triton 袭击之前大约一周左右，我在中东。”在一次谈话中，Haward-Grau 询问了那里石油公司的一名安全主管，他对公司的网络安全水平有何看法。 “嗯，他告诉我他不需要担心任何事情。我想：‘哇，你是我在网络安全领域遇到的唯一一个不担心的人。我不会停止担心。我睡不着，’” Haward-Grau 继续说道。这位常驻中东的网络安全专家继续滔滔不绝地说出他晚上能睡得很好的原因：“我们被隔绝了。我们有数据二极管。如果一切都出错，我们有一个 SIS 系统，”安全总监说，指的是安全仪表系统，该系统旨在使关键的工业操作能够在紧急情况下安全、优雅地发生故障。

[ 物联网世界 是行业和物联网创新的交汇点。预订您的 会议通行证 节省 350 美元，获得一个 免费展会通行证 或查看 物联网安全演讲者 在活动中。]

一周后，Trisis 来袭，促使网络安全专家致电 Haward-Grau。 “他打电话给我说：‘听着，你知道，我是怎么说的，我们为网络安全制定了三个核心方法。我现在有点紧张，因为我们可能没有这三个。’”

虽然 Trisis 在被发现后的几个月内在工业网络安全领域引起了轰动，但有关该恶意软件的详细信息却很少。现在，关于这次攻击的更清晰的画面正在浮现。网络安全公司 FireEye 于 4 月 10 日证实，它在一个单独的关键基础设施设施中发现了另一起攻击。去年，这家网络安全公司还宣布，它认为这次攻击源于俄罗斯。

Mocana 国家安全和关键基础设施项目主管 Emily S. Miller 说：“对于大多数业主和运营商来说，俄罗斯是幕后黑手还是黑客组织并不重要。” “重要的是它们会不会导致不好的事情发生。当涉及到关键基础设施时，这意味着生命损失。”

FireEye 已经对 Triton 的机制有了更清晰的了解，它利用了数十种商品和自定义入侵工具。例如，SecHack 被用于凭证收集，而 Cryptcat、Bitvise、OpenSSH 和 PLINK 创建了后门。自定义工具可能帮助攻击者绕过网络安全保护。

成功攻击 SIS 目标的影响可能很大。 PAS Global 首席执行官埃迪·哈比比 (Eddie Habibi) 在一封电子邮件声明中说：“不良行为者可以通过操纵安全系统的配置来关闭 [旨在在紧急情况下保护工业设施] 的流程。” “然而，真正的危险在于，如果攻击者渗透到与安全系统相同的设施内的其他 ICS 系统，”他继续说道。如果发生这种情况，对手可以通过修改工业流程以超过安全操作限制来为灾难奠定基础，从而可能造成物理破坏、伤亡和污染。在首次发现恶意软件的设施中，Triton 可能干扰了燃烧器管理系统的功能，可能会触发硫化氢气体的释放。

Triton 以施耐德电气的设备为目标，也可能激发模仿攻击，其目的不仅是窃取敏感数据，还会造成物理破坏和可能的生命损失。 “我认为我们已经看到了类似攻击的催化作用，”米勒说。并且这次攻击不仅提供了针对石油和天然气行业的攻击蓝图，据称这是首次宣布的 Trisis 攻击的目标，还提供了任何类型的关键基础设施，包括楼宇自动化系统。 “看看 Black Energy，”米勒说，他指的是在关闭乌克兰部分电网中发挥作用的恶意软件。 “当它击中时，它是全新的和新颖的。现在，它是您可以在暗网上购买的东西。”米勒说，发起这种危险攻击的对手可以在网上与志同道合的黑客分享他们的策略，类似于厨师在网上窃取食谱。

民族国家进一步支持此类攻击的可能性也令人不安。 IOActive 战略服务副总裁 John Sheehy 在一封电子邮件声明中表示：“对于当前一代的运营技术 (OT) 系统，一个未缓解的网络安全问题就是一个未缓解的安全问题。施耐德电气网络安全和系统架构总监安德鲁·克林 (Andrew Kling) 在去年接受采访时表示，施耐德此后发起了一项教育活动，将 Triton 转变为行业的“行动呼吁”。

FireEye 研究人员认为，民族国家可能会增加此类恶意软件以支持应急行动，而不是立即发起破坏性攻击。设置和可能策划像 Trisis 这样的攻击可能需要威胁参与者多年的规划和时间投入，他们努力确保他们能够持续访问目标环境。 FireEye 研究团队认为，攻击者花了将近一年的时间才将访问范围从目标网络扩展到 SIS 工程工作站。与此同时，攻击者小心翼翼地隐藏他们的踪迹，例如，将可执行的恶意软件文件重命名为看起来像 Microsoft 更新文件。 FireEye 认为 Trisis 背后的攻击者至少从 2014 年就开始活跃。

IOActive 和 Miller 战略服务副总裁 John Sheehy 表示，Triton 恶意软件还应该推动将整体网络安全保护融入工业环境，而不是主要专注于防御措施，例如网络监控和威胁搜寻。 Sheehy 还强调了在工业环境中建立物理安全保护的重要性，这将有助于减轻成功的以安全为导向的网络攻击。 “在可能的情况下，设计师应该使用正交安全控制，例如机械减压阀或机械调速器，它们与控制系统的重合度为零，因此不会受到它们的影响，”Sheehy 说。 “当今的 OT 实施应侧重于通过使用非网络安全工程控制的分层保护和缓解措施来管理网络安全攻击的后果。这应该侧重于为流程和整体运营提供运营弹性。”

“让我们来看看造成影响的根本原因：我们需要从一开始就加强安全性并将其嵌入这些 ICS 设备中，”米勒在一封电子邮件声明中说。 “在我们做到这一点之前，我们将继续让自己像坐鸭一样应对更关键的基础设施攻击，例如这种攻击。”