更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月11日讯 2017年8月,中东某家石油天然气工厂遭遇黑客攻击停运,罪魁祸首是被称为最强的工控恶意软件
TRITON(又称为Trisis和 HatMan)。FireEye 对该软件进行深入研究后表示,Triton 的开发者复用了现成代码,且其开发者甚至对Triton的功能及破坏性尚不够了解,此前造成能源工厂停运 ,很可能只是个“意外”。
关于 TRITON
TRITON 的厉害之处在于其完整的文件库通过五种不同的编程语言构建,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件,至今该软件的构造及其背后的黑客组织 Xenotime身份至今仍是个迷。这款恶意软件被指与伊朗有关,最近 Xenotime 被发现已扩大攻击目标范围。
关于恶意软件Triton的具体研究
FireEye 的实践团队 (Advanced Practices Team)对 Triton 进行了详细分析,将其描述为一款恶意软件框架,并研究判断它的创建时间和创建方式。
在 Triton 恶意软件让能源工厂停运的那起事件中,Triton 当时利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。攻击者以施耐德电气公司的 Triconex 安全仪表系统(SIS)控制器为目标,该控制器使用了专有的 TriStation 网络协议,此协议旨在为个人计算机(如工程工作站)和 Triconex 控制器之间的通信而设计。由于这个协议并不存在公开的文档说明,因此并不容易理解,不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。
目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。FireEye 表示,它们可能是从某个政府实体购买或借取的,也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。
Triton 的开发者复用了现成代码
FireEye 的研究人员认为,Triton 恶意软件的开发者并不是从零开始构建 TriStation 通信组件,而是从合法库中复制了代码。 例如,研究人员发现 Triton 恶意软件中的代码与一款文件名为“tr1com40.dll” 的合法的 TriStation 软件文件代码之间存在多个相似点。
虽然通过逆向合法的 DLL 文件可能有助于攻击人员理解 TriStation 的工作原理,但 Triton 中的代码表明开发人员并未全部理解它。
攻击者碰“巧让”能源公司停运
对 TriStation 的工作原理的不完全理解,极可能导致攻击者在攻击相关组织机构的关键基础设施中遇到问题,且 Triton 恶意软件的发现就是因为攻击者在攻击过程中,不慎导致 SIS 控制器触发安全关闭之后被曝光。
安全专家认为,攻击者之前可能一直在进行测试,试图判断哪些条件才能造成物理损害。
FireEye的报告指出,6个月前尚未出现针对 Triconex 系统的恶意攻击,此后可能还会出现如 Triton 等可以合理用于其它 SIS 控制器和相关技术的框架。如果 Triconex 在这个范围内,那么未来可能会看到类似的攻击方法,或将影响主要的工业安全技术。
工业网络安全公司 Dragos 最近表示, Triton 攻击的幕后组织 Xenotime 仍在活跃,除施耐德的 Triconex 外,该组织还针对全球各地的其他组织机构的安全系统发动攻击。
閱讀更多 E安全 的文章
