不知道大家是否還記得震網Stuxnet以及2016年底導致烏克蘭電力系統癱瘓的BlackEnergy,這兩種病毒作為破壞工業流程的計算機病毒,可謂是一鳴驚人,讓業界都為之“顫抖”。
那如果我告訴你,繼震網Stuxnet以及BlackEnergy之后,第三種計算機病毒再次來襲,你怕不怕?
美國知名全廠商FireEye發布報告指出:民族國家黑客使用了一款名為TRITON的惡意軟件滲透了一個關鍵基礎設施的安全系統,導致了工控系統關機。該惡意軟件對施耐德電氣SE運行安全系統(Triconex安全儀表系統,簡稱SIS)的工作站進行遠程控制然后試圖重新編程用于監視工廠的控制器是否存在潛在的安全問題。
據研究人員分析,導致工控系統關機很可能是為了最終造成物理破壞,而且很可能是國家發起的攻擊行為。
鑒于病毒危害的嚴重性,目前Fireeye已將此事向美國國土安全部做了相關匯報。
那TRITON病毒具體是通過怎樣的原理運作的呢?據介紹,TRITON病毒可以與SIS控制器通訊(例如發送halt等特定命令,或讀取其內存內容),并利用攻擊者定義的負載對其遠程重新編程。安全研究人員捕獲的TRITON病毒樣本將攻擊者提供的程序添加到Triconex控制器的執行表中,如果控制器失效,TRITON會嘗試讓程序進入運行狀態。在一定的時間窗口后控制器仍未恢復的話,樣本會用無效數據覆蓋惡意程序以掩蓋其蹤跡。
利用TRITON病毒,攻擊者主要能夠發布一下三種攻擊:
●利用SIS關閉進程
攻擊者可重新編程SIS邏輯,致其在安全狀態下也會關閉進程,即觸發誤報。進程關閉期間及大型工廠關閉后的啟動流程都會造成巨大經濟損失。
●重新編程SIS允許不安全狀態
攻擊者可重新編程SIS允許持續出現的不安全情況,增加出現物理破壞的風險,譬如SIS功能缺失可能會影響到設備、產品、環境和人身安全。
●重新編程SIS允許不安全狀態,并利用DCS導致風險
攻擊者可從DCS操控進程進入不安全狀態,并導致SIS無法正常工作,這可能對人身安全和環境造成影響,或者直接破壞設備,具體取決于進程的物理限制和工廠的設計。
為了能夠更加有效的對該病毒進行防御,相關人員給出了以下幾點安全建議:
●技術可行的情況下,將安全系統網絡、進程控制、信息系統網絡進行隔離。能夠對SIS控制器進行編程的工程工作站不應雙宿任何其他DCS進程控制器以及信息系統網絡上。
●利用硬件功能物理控制程序安全控制器,這通常是由物理鑰匙控制的開關。Triconex控制器上,除了定期編程事件期間,其他時間鑰匙不應處于PROGRAM模式。
●更改鑰匙位置要執行變更管理流程,定期審計當前鑰匙狀態。
●對任何依賴于SIS所提供數據的應用,用單向網關而不是雙向網絡進行連接。
●在所有可以通過TCP/IP到達SIS系統的服務器或工作站上,執行嚴格訪問控制與應用白名單。
●在Monitor ICS網絡通訊中監控非預期通訊流量及任何異常行為。
作為第三種能夠破壞工業流程的計算機病毒,TRITON病毒的威脅性應該不輸其“前輩”Stuxnet和BlackEnergy。希望相關機構能夠汲取教訓,做好安全防范措施,不要讓震網事件以及烏克蘭斷電事件重演。
京公網安備 11010502049343號