不知道大家是否還記得震網(wǎng)Stuxnet以及2016年底導(dǎo)致烏克蘭電力系統(tǒng)癱瘓的BlackEnergy,這兩種病毒作為破壞工業(yè)流程的計算機病毒,可謂是一鳴驚人,讓業(yè)界都為之“顫抖”。
那如果我告訴你,繼震網(wǎng)Stuxnet以及BlackEnergy之后,第三種計算機病毒再次來襲,你怕不怕?
美國知名全廠商FireEye發(fā)布報告指出:民族國家黑客使用了一款名為TRITON的惡意軟件滲透了一個關(guān)鍵基礎(chǔ)設(shè)施的安全系統(tǒng),導(dǎo)致了工控系統(tǒng)關(guān)機。該惡意軟件對施耐德電氣SE運行安全系統(tǒng)(Triconex安全儀表系統(tǒng),簡稱SIS)的工作站進行遠程控制然后試圖重新編程用于監(jiān)視工廠的控制器是否存在潛在的安全問題。
據(jù)研究人員分析,導(dǎo)致工控系統(tǒng)關(guān)機很可能是為了最終造成物理破壞,而且很可能是國家發(fā)起的攻擊行為。
鑒于病毒危害的嚴重性,目前Fireeye已將此事向美國國土安全部做了相關(guān)匯報。
那TRITON病毒具體是通過怎樣的原理運作的呢?據(jù)介紹,TRITON病毒可以與SIS控制器通訊(例如發(fā)送halt等特定命令,或讀取其內(nèi)存內(nèi)容),并利用攻擊者定義的負載對其遠程重新編程。安全研究人員捕獲的TRITON病毒樣本將攻擊者提供的程序添加到Triconex控制器的執(zhí)行表中,如果控制器失效,TRITON會嘗試讓程序進入運行狀態(tài)。在一定的時間窗口后控制器仍未恢復(fù)的話,樣本會用無效數(shù)據(jù)覆蓋惡意程序以掩蓋其蹤跡。
利用TRITON病毒,攻擊者主要能夠發(fā)布一下三種攻擊:
●利用SIS關(guān)閉進程
攻擊者可重新編程SIS邏輯,致其在安全狀態(tài)下也會關(guān)閉進程,即觸發(fā)誤報。進程關(guān)閉期間及大型工廠關(guān)閉后的啟動流程都會造成巨大經(jīng)濟損失。
●重新編程SIS允許不安全狀態(tài)
攻擊者可重新編程SIS允許持續(xù)出現(xiàn)的不安全情況,增加出現(xiàn)物理破壞的風(fēng)險,譬如SIS功能缺失可能會影響到設(shè)備、產(chǎn)品、環(huán)境和人身安全。
●重新編程SIS允許不安全狀態(tài),并利用DCS導(dǎo)致風(fēng)險
攻擊者可從DCS操控進程進入不安全狀態(tài),并導(dǎo)致SIS無法正常工作,這可能對人身安全和環(huán)境造成影響,或者直接破壞設(shè)備,具體取決于進程的物理限制和工廠的設(shè)計。
為了能夠更加有效的對該病毒進行防御,相關(guān)人員給出了以下幾點安全建議:
●技術(shù)可行的情況下,將安全系統(tǒng)網(wǎng)絡(luò)、進程控制、信息系統(tǒng)網(wǎng)絡(luò)進行隔離。能夠?qū)IS控制器進行編程的工程工作站不應(yīng)雙宿任何其他DCS進程控制器以及信息系統(tǒng)網(wǎng)絡(luò)上。
●利用硬件功能物理控制程序安全控制器,這通常是由物理鑰匙控制的開關(guān)。Triconex控制器上,除了定期編程事件期間,其他時間鑰匙不應(yīng)處于PROGRAM模式。
●更改鑰匙位置要執(zhí)行變更管理流程,定期審計當(dāng)前鑰匙狀態(tài)。
●對任何依賴于SIS所提供數(shù)據(jù)的應(yīng)用,用單向網(wǎng)關(guān)而不是雙向網(wǎng)絡(luò)進行連接。
●在所有可以通過TCP/IP到達SIS系統(tǒng)的服務(wù)器或工作站上,執(zhí)行嚴格訪問控制與應(yīng)用白名單。
●在Monitor ICS網(wǎng)絡(luò)通訊中監(jiān)控非預(yù)期通訊流量及任何異常行為。
作為第三種能夠破壞工業(yè)流程的計算機病毒,TRITON病毒的威脅性應(yīng)該不輸其“前輩”Stuxnet和BlackEnergy。希望相關(guān)機構(gòu)能夠汲取教訓(xùn),做好安全防范措施,不要讓震網(wǎng)事件以及烏克蘭斷電事件重演。