FireEye麥迪安調查部門的安全研究人員發現一款針對工控系統(ICS)的惡意軟件——“TRITON”，該軟件瞄準施耐德電氣公司Triconex安全儀表控制系統(Safety Instrumented System，SIS)控制器，造成一家能源工廠停運，幕后黑手疑似為國家支持型攻擊者。

這起事件堪稱“分水嶺”，TRITON攻擊讓工廠的所有設備在安全系統正在被破壞的情況下還能顯示正常，這是黑客成功入侵工控安全系統的第一起正式報告。火眼和施耐德均拒絕說出受害者的身份和位置。但有安全公司認為這家能源工廠位于中東，而另一家安全司CyberX則更進一步指出是沙特阿拉伯。

新型工控惡意軟件“TRITON”浮出水面-E安全

TRITON攻擊分析

TRITON是攻擊者構建用來與Triconex SIS控制器交互的攻擊框架。Triconex廣泛用于能源行業，包括核工業，石油和天燃氣。FireEye表示，TRITON是繼“震網”(Stuxnet)蠕蟲病毒和Industroyer等之后經公開確認為數不多的ICS惡意軟件家族。TRITON與這些攻擊一樣，能阻止安全機制執行預期功能，從而造成物理破壞。

TRITON的主要描述及描述見下表：

新型工控惡意軟件“TRITON”浮出水面-E安全

SIS控制器發現異常可開啟保護模式:

安裝在生產線和其它工業設備上的專用設備，負責讀取工業設備(例如工廠機械、機器人、閥門、馬達等)的數據。SIS控制器讀取數據流以確保工業設備在某些參數區間運作。如果數據偏離預先確定的安全界限，SIS控制器會采取一系列措施，并可能會在極端情況下關閉整個工廠或生產線，以此保護人身安全和設備安全。

FireEye研究人員表示，攻擊者在運行微軟Windows操作系統的SIS工程工作站上部署TRITON，將TRITON偽裝成看似合法的TriconexTrilog應用程序。該應用程序的主要作用是檢查日志，是TriStation應用程序套件的組成部分。惡意軟件TRITON會讀取在被感染SIS工程工作站上發現的配置文件，識別SIS控制器，并嘗試部署特定的Payload。當Payload被配置為關閉生產過程或允許SIS控制的機械在不安全的狀態下運作，很可能會帶來物理破壞。

攻擊者開發造成物理破壞的能力，同時導致運作中斷的原因分析如下：

修改SIS可能會妨礙其正常運作，從而增加了造成物理后果的可能性。

TRITON被用來修改環境中SIS控制器的應用程序內存，這可能會導致驗證檢查失敗。

TRITON使用期間發生故障。

事件發生期間，孤立的現有或外部條件不可能造成故障。

TRITON背后操縱者身份分析

FireEye研究人員有一定的把握認為，攻擊者正在開發帶來物理破壞和導致運作中斷的能力。FireEye未將這起活動與目前追蹤的任何攻擊者關聯起來，但是有一定把握認為，該攻擊的幕后黑手是國家支持型黑客。

首先，針對SIS發起攻擊本身就說明攻擊者計劃發起具有高度影響力的攻擊，這種攻擊附帶物理后果，這種攻擊目標并非是網絡犯罪團伙的典型表現。鑒于TRITON以關鍵基礎設施為靶子，未表現出明顯的牟利意圖，攻擊者創建此攻擊框架必需的技術資源很完備，這些均說明TRITON的幕后黑手是實力雄厚的國家型黑客。

至于屬于具體哪個國家的黑客，具體遭到TRITON攻擊的公司名稱以及其所屬行業等信息，研究人員拒絕透露。

TRITON編碼先進

FireEye多次在報告中指出，攻擊者技能高超，有帶來大肆破壞的打算。

第一，攻擊者訪問SIS系統后不久便部署了TRITON，這表明他們預先創建并測試了需要訪問硬件和軟件的工具。TRITON還被設計使用非公開記錄的專有TriStation協議進行通信，這說明攻擊者獨立對該協議進行了逆向工程研究。

其次，這款惡意軟件設計了在SIS控制器上掩蓋蹤跡的機制。

第三，攻擊者感染了隔離網絡上的一臺SIS工程工作站。

因此，FireEye認為，這并不是一起偶然黑客事件或單純的競爭對手搞破壞的行為，而是國家攻擊者的行徑。

新型工控惡意軟件“TRITON”浮出水面-E安全

以關鍵基礎設施為目標，影響、破壞或摧毀系統的方式，與俄羅斯、美國、伊朗、以色列和朝鮮國家支持型攻擊者在全球范圍內發起的數起攻擊和探測活動一致。這類性質的入侵一定意味著有立即破壞目標系統的意圖，這可能是一場現場測試，可能是為大型攻擊做準備。

建議

資產所有者考慮采取以下控制措施：

在技術可行的情況下，將安全系統網絡與過程控制信息系統網絡隔離開。

能用來設計SIS控制器的工程工作站不應與其它任何DCS(分布式控制系統)過程控制信息系統網站進行雙宿(Dual-Homed)連接。

利用提供物理控制能力的硬件功能對安全控制器進行編程，一般通過物理密鑰控制的交換機實現。在Triconex控制器上，除了預定的編程事件期間，密鑰不應留在PROGRAM模式中。

通過變更管理程序改變密鑰位置。定期審查當前的密鑰狀態。

對于依賴SIS提供數據的任何應用程序，使用單向網關網絡連接，而不是雙向網關。

在能通過TCP/IP訪問SIS系統的任何服務器或工作站上采用嚴格的訪問控制和應用白名單措施。

監控ICS網絡流量，檢測意外通信流量和其它異常活動。

其他ICS惡意軟件

研究人員發現的ICS惡意軟件不止TRITON，先前浮出水面的ICS惡意軟件包括針對伊朗核設施的Stuxnet，針對烏克蘭電網的Industroyer和BlackEnergy，以及針對美國的Sandworm。

2017年9月，賽門鐵克公司發出預警稱，國家型黑客組織“蜻蜓”(Dragonfly)加大力度攻擊美國和歐洲能源公司。