2017年8月,中东某家石油天然气工厂遭遇黑客攻击停运,罪魁祸首是被称为最强的工控恶意软件 TRITON(又称为 Trisis 和 HatMan)。

FireEye 对该软件进行深入研究后表示,Triton 的开发者复用了现成代码,且其开发者甚至对Triton的功能及破坏性尚不够了解,此前造成能源工厂停运 ,很可能只是个“意外”。

关于 TRITON

TRITON 的厉害之处在于其完整的文件库通过五种不同的编程语言构建,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件,至今该软件的构造及其背后的黑客组织 Xenotime身份至今仍是个迷。这款恶意软件被指与伊朗有关,最近 Xenotime 被发现已扩大攻击目标范围。

关于恶意软件Triton的具体研究

FireEye 的实践团队 (Advanced Practices Team)对 Triton 进行了详细分析,将其描述为一款恶意软件框架,并研究判断它的创建时间和创建方式。

在 Triton 恶意软件让能源工厂停运的那起事件中,Triton 当时利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。攻击者以施耐德电气公司的 Triconex 安全仪表系统(SIS)控制器为目标,该控制器使用了专有的 TriStation 网络协议,此协议旨在为个人计算机(如工程工作站)和 Triconex 控制器之间的通信而设计。由于这个协议并不存在公开的文档说明,因此并不容易理解,不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。

目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。FireEye 表示,它们可能是从某个政府实体购买或借取的,也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。

Triton 的开发者复用了现成代码

FireEye 的研究人员认为,Triton 恶意软件的开发者并不是从零开始构建 TriStation 通信组件,而是从合法库中复制了代码。例如,研究人员发现 Triton 恶意软件中的代码与一款文件名为“tr1com40.dll” 的合法的 TriStation 软件文件代码之间存在多个相似点。

虽然通过逆向合法的 DLL 文件可能有助于攻击人员理解 TriStation 的工作原理,但 Triton 中的代码表明开发人员并未全部理解它。

攻击者碰“巧让”能源公司停运

对 TriStation 的工作原理的不完全理解,极可能导致攻击者在攻击相关组织机构的关键基础设施中遇到问题,且 Triton 恶意软件的发现就是因为攻击者在攻击过程中,不慎导致 SIS 控制器触发安全关闭之后被曝光。

安全专家认为,攻击者之前可能一直在进行测试,试图判断哪些条件才能造成物理损害。

FireEye的报告指出,6个月前尚未出现针对 Triconex 系统的恶意攻击,此后可能还会出现如 Triton 等可以合理用于其它 SIS 控制器和相关技术的框架。如果 Triconex 在这个范围内,那么未来可能会看到类似的攻击方法,或将影响主要的工业安全技术。

工业网络安全公司 Dragos 最近表示, Triton 攻击的幕后组织 Xenotime 仍在活跃,除施耐德的 Triconex 外,该组织还针对全球各地的其他组织机构的安全系统发动攻击。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。