2017年12月,FireEye麦迪安调查部门的安全研究人员发现一款针对工控系统(ICS)的恶意软件—“TRITON”,黑客利用这款工控恶意软件TRITON,攻击了施耐德电气公司Triconex安全仪表系统(SIS),造成中东一家能源工厂停运,幕后黑手疑似为国家支持型攻击者。
该恶意软件可以在攻陷SIS系统后,对SIS系统逻辑进行重编辑,使SIS系统产生意外动作,对正常生产活动造成影响;或是造成SIS系统失效,在发生安全隐患或安全风险时无法及时实行和启动安全保护机制;亦或在攻陷SIS系统后,对DCS系统实施攻击,并通过SIS系统与DCS系统的联合作用,对工业设备、生产活动以及人员健康造成破坏。
这起在工业厂房发生的安全系统攻击事件,证实了人们的担心,黑客越来越重视攻击公用事业、工厂和其他类型的关键基础设施。这样的攻击可能会导致这些设施的关闭,或者让黑客能够攻击工业厂房的其他部分,也有可能使运营商无法识别和制止这样的瘫痪攻击。
TRITON是继“震网”(Stuxnet)蠕虫病毒和Industroyer等之后经公开确认为数不多的ICS恶意软件变体。
ICS恶意软件变体的简要历史:
-
2010-震网病毒(Stuxnet)是第一款专门针对SCADA系统(数据采集与监视控制系统)和可编程逻辑控制器(PLC)的恶意软件,曾对伊朗的核设施造成了难以估量的损害,最终导致伊朗拥有核武器的时间延迟了好几年。
-
2013-Havex是一款远程访问木马(RAT),被编写来感染SCADA系统(数据采集与监视控制系统)和工控系统(ICS)中使用的工业控制软件,其有能力禁用水电大坝、使核电站过载、甚至可以做到一键关闭一个国家的电网。
-
2014-BlackEnergy2(黑暗力量2.0)是BlackEnergy(出现于2007年)的变种,该恶意软件的攻击目标为GE Cimplicity、Advantech/Broadwin WebAccess以及西门子WinCC等少数供应商提供的HMI(人机接口)软件。该恶意软件被用于2015年12月攻陷乌克兰电网的网络攻击活动中。
-
2016-Crash Override/Industroyer,这是第一款用于攻击电网系统的已知恶意软件,并成功实践于2016年12月针对乌克兰基辅地区变电站的攻击活动中。
-
2017年9月- Dragonfly,赛门铁克公司发出预警称,国家型黑客组织“蜻蜓”(Dragonfly)加大力度攻击美国和欧洲能源公司。
-
2017- Triton/Trisys
ICS恶意软件攻击步骤
-
步骤一:攻击者成功在目标网络中立足并开始侦察活动,可能包含以下部分或全部内容:一个可能会用于渗透工业网络的远程连接;一旦进入网络,攻击者就可以扫描受感染网络来识别ICS设备;由于ICS网络不使用身份验证或加密,所以攻击者能够访问任何系统——包括操作员和工程师工作站、人机界面、Windows服务器或控制器(PLC,RTU或DCS控制器)——以识别攻击目标中的资产详情。
-
步骤二:攻击者把通过侦察活动收集到的信息提取到一个异地位置。这一过程可以通过将来自不同系统的内部消息传递给可以将其提取出来的单个位置来实现。
-
步骤三:接下来,使用上述步骤1、2中收集到的信息,将恶意软件安装在可访问目标ICS系统的工作站上。这一过程可以通过网络或使用受感染的USB驱动器来完成。
-
步骤四:在最后一个阶段中,恶意软件会取代现有的逻辑,并将新的梯形逻辑(一种编程语言)上传到控制器(PLC,RTU或DCS控制器)中。由于这一逻辑决定了自动化流程的执行方式,因此使用恶意有效负载进行更改或替换会导致系统、环境和人员的各种操作中断甚至物理损坏。
ICS恶意软件防御措施
资产所有者考虑采取以下控制措施:
在技术可行的情况下,将安全系统网络与过程控制信息系统网络隔离开。
能用来设计SIS控制器的工程工作站不应与其它任何DCS(分布式控制系统)过程控制信息系统网站进行双宿(Dual-Homed)连接。
利用提供物理控制能力的硬件功能对安全控制器进行编程,一般通过物理密钥控制的交换机实现。在Triconex控制器上,除了预定的编程事件期间,密钥不应留在PROGRAM模式中。
通过变更管理程序改变密钥位置。定期审查当前的密钥状态。
对于依赖SIS提供数据的任何应用程序,使用单向网关网络连接,而不是双向网关。
在能通过TCP/IP访问SIS系统的任何服务器或工作站上采用严格的访问控制和应用白名单措施。
监控ICS网络流量,检测意外通信流量和其它异常活动。