美國國土安全部研究人員于近期在調查時發現另一新型惡意軟件HatMan，旨在針對國家工業控制系統展開攻擊活動。隨后，國家網絡安全與通信集成中心在本周一發布的惡意軟件分析報告中提供了緩解措施與 YARA 規則，以便減少國家工控系統的損失。

調查顯示，基于 Python 編寫的 HatMan 惡意軟件主要以施耐德電氣的 Triconex 安全儀表系統（SIS）控制器為目標，旨在監控流程并將其恢復到安全狀態或在發現潛在危險情況時執行安全關閉。此外，HatMan 還通過專有的 TriStation 協議與 SIS 控制器進行通信，并允許攻擊者通過添加新的梯形圖邏輯操縱設備。然而，由于黑客在觸發 SIS 控制器啟動 “安全關閉” 功能后終止了操作，因此FireEye 專家推測攻擊者可能是在偵查階段無意觸發了控制器，其最終目標可能只是針對 SIS 造成高強度的物理傷害感興趣。

施耐德電氣的 Triconex 安全檢測系統（SIS）控制器主要用于核電站、煉油、石化、化工和其它過程工業的安全和關鍵單元提供連續的安全連鎖和保護、工藝監視，并在必要時安全停車。

值得注意的是，NCCIC 在其報告中指出，該惡意軟件主要有兩部分組件：一部分是在受損的 PC 端運行后與安全控制器交互，另一塊是在控制器上直接運行。研究人員表示，雖然 HatMan 本身并沒有做任何危險動作，且被降級的基礎設施安全系統也不會直接操作整個控制流程，但倘若存在漏洞的安全系統遭到惡意軟件感染則可能會造成極大危害。另外，可以肯定的是，雖然 HatMan 今后可能會成為監控 ICS 的重要工具，但它或許只會被用來影響工業生產流程或者其他危險操作。總而言之，惡意軟件中不同組件的構建意味著攻擊者需要對 ICS 環境（特別是對 Triconex 控制器）極其熟悉，以及它需要較長的開發周期來完善這類高級攻擊手法。

施耐德電氣已對此事件展開調查。官方表示目前沒有證據表明該惡意軟件利用了產品中的任何漏洞。但安全專家還是建議客戶切勿輕易將設備置于 “Program” 模式，因為當控制器設置為此“Program” 模式時攻擊者就可能通過惡意軟件傳送 payload。

國家安全局局長 Emily S. Miller 表示：“ 攻擊者有能力訪問關鍵基礎設施的安全儀器設備，并極有可能針對設備固件進行潛在更改，因此這一提醒給予關鍵基礎設施的所有者與經營者莫大的警示。”