新型工控系统恶意软件TRITON：修改SIS增加物理破坏机率

　　原标题：新型工控系统恶意软件TRITON：修改SIS增加物理破坏机率

　　Mandiant最近针对中东某企业关键基础设施遭受的攻击事件进行了安全响应，攻击者通过部署特制的恶意软件来控制目标工业安全系统，由于工业安全系统具备对工控系统的紧急关闭功能，因此我们有足够信心断定，该恶意软件是攻击者针对工控系统的硬件破坏或突然关停而开发的。目前，我们把这种恶意软件命名为TRITON，攻击者利用TRITON攻击框架能与施耐德电气公司的Triconex安全仪表系统控制器（SIS）形成通信交互，尽管我们暂时还未追溯定位到实际的攻击者，但我们肯定该攻击事件的幕后黑手为国家支持型黑客。

　　TRITON特点

　　TRITON是继2010年针对伊朗的Stuxnet和2016年针对乌克兰的Industroyer后，为数不多可以被公开检测识别到的工控系统恶意软件系列之一，TRITON与这些攻击类似，它可以破坏工控系统安全机制并执行预期恶意功能，从而造成严重的物理破坏攻击后果。

　　攻击事件概述

　　攻击者通过获得安全仪表系统（SIS）工作站的远程访问控制权限，对SIS控制器进行了重编译，进而在SIS系统中部署了TRITON攻击框架。

　　此次攻击事件中，一些SIS控制器都形成了失效保护状态（failed safe state），造成工控进程的自动关闭，因此引起了管理者的察觉并展开了调查。调查后发现，当应用代码在冗余处理单元之间验证失效时（可引发量产诊断错误消息），就会导致SIS控制器进入安全关闭状态。

　　我们确信攻击者希望隐蔽执行自动关闭操作造成对工控系统的物理破坏，主要基于以下几方面原因：

　　修改安全仪表系统（SIS）可以导致功能异常，增加物理破坏机率

　　TRITON会修改SIS控制器中的应用程序内存导致验证失效

　　验证失效状态在TRITON处于运行状态时发生

　　工控网络中存在的孤立或外部条件不可能造成这种错误

　　攻击溯源

　　针对此次攻击事件，FireEye目前还暂未准确溯源定位到实际的攻击者，但可以肯定的是这是国家支持型的黑客攻击。攻击以关键基础设施为目标，具备持续性，且缺乏明确的经济利益目的，结合创建TRITON攻击框架所需的充足技术资源来看，这明显是国家黑客形为。可以从以下几方面来作出判断：

　　攻击者以SIS系统为目标，体现出其希望造成严重物理破坏的目的，这与网络犯罪集团行为不符。

　　攻击者在获得SIS系统后不久就部署了TRITON，表示他们已经预先构建并测试了需要访问硬件和软件的工具。 TRITON也被设计为使用专有的TriStation协议进行通信，该协议没有被公开记录，暗示对手独立地反向设计了该协议。

　　攻击者在取得SIS系统控制权后不久就部署了TRITON，明显表示他们已经预先创建并测试过该恶意工具的软硬件运行环境；另外，TRITON框架还被设置为使用专门未公开的TriStation协议来进行通信，可以说明，攻击对手已经可以完全独立地逆向该通信协议。

　　这种以关键基础设施为目标的破坏、中断或瘫痪攻击特征，与俄罗斯、伊朗、朝鲜、美国和以色列在全球进行的大量网络攻击和侦察活动相符，这种攻击不会马上造成立竿见影的破坏效果，它会形成驻留为后续的深入攻击进行潜伏。

　　过程控制和安全仪表系统（Safety Instrumented Systems）背景

　　现代工业过程控制和自动化系统依靠各种先进的控制系统和安全功能，这些系统和功能通常被称为工业控制系统（ICS）或操作技术（OT）。

　　分布式控制系统（DCS）为操作人员提供远程监视和控制工业过程的能力。它是由计算机、软件应用程序和控制器组成的计算机控制系统。工程工作站是用来对控制系统应用和其他控制系统设备进行配置、维护和诊断的独立计算机。