关键基础设施站点上的改变游戏规则的攻击会导致停机

研究人员于本周四称，可能是代表一个工作的黑客最近在一个关键的基础设施站点造成了一次操作中断。攻击者通过使用一个新的恶意软件来攻击系统，以防止危及健康和生命的事故。

安全公司FireEye的Mandiant部门的研究人员在一份报告中说，恶意软件最有可能是在这个未命名的网站内造成物理损伤。它的工作目标是一个安全仪器系统，目标设施和许多其他关键基础设施场所使用该系统，以防止出现不安全的情况。这款恶意软件被交替命名为Triton和Trisis，因为它的目标是施耐德电气公司生产的Triconex生产线。

曼迪安特的研究人员写道：“曼迪安特最近对一个关键基础设施组织的一起事件做出了回应，攻击者部署了旨在操纵工业安全系统的恶意软件。”目标系统为工业过程提供了紧急关闭能力。我们以适度的信心评估，攻击者正在发展造成物理损害和无意中关闭操作的能力。

意外停运很可能是Triconex SIS或“安全仪表系统”的结果。安全情报局在遭遇到黑客在该设施进行侦察时发生的错误时关闭了行动。虽然黑客们很可能是在寻求在设施内造成物理损伤的能力，但11月的关闭很可能并不是故意的。

如果不重写，Triton就不会在另一个关键的基础设施上工作。然而，它代表了一种新的工业控制黑客模式，很可能在未来的漏洞中被复制。

Dragos的研究人员也分析了这种恶意软件，他们写道：“虽然攻击不是高度可扩展的，但展示的贸易工具现在可以作为其他对手瞄准SIS的蓝图，并代表了迄今为止看到的攻击类型的升级，因为它是专门针对过程的安全功能的。”在其他地方，研究人员继续说：”虽然Tris is似乎重点突出，但ICS所有者和运营者应将这一事件视为ICS资产针对以前非目标SIS设备的扩展。

FireEye提供了关于感染的更多细节，写道：

攻击者获得了对SIS工程工作站的远程访问，并部署了TRITON攻击框架来重新编程SIS控制器。在事件发生期间，一些SIS控制器进入故障安全状态，自动关闭工业过程，并促使资产所有者启动调查。调查发现，当冗余处理单元之间的应用程序代码失败验证检查时，SIS控制器启动了一个安全关机-导致MP诊断失败消息。

我们以适度的信心评估，攻击者在开发造成物理损害的能力时无意中关闭了操作，原因如下：

报告继续说：

一旦进入SIS网络，攻击者使用他们预先构建的TRITON攻击框架，使用Tri Station协议与SIS控制器进行交互。攻击者可能通过发出停止命令或故意将有缺陷的代码上传到SIS控制器以导致其失败而导致进程关闭。相反，攻击者在一段时间内进行了几次尝试，以开发和交付SIS控制器在此目标环境中的功能控制逻辑。虽然这些尝试似乎失败了，因为攻击脚本的条件检查之一，攻击者坚持他们的努力。这表明攻击者意图在进程关闭之外导致特定的结果。

FireEye继续温和地评估说，黑客是由一个不愿透露姓名的赞助的。研究人员根据关键基础设施的目标、攻击者的持久性、缺乏财政奖励以及使恶意软件工作所需的技术资源进行评估。反病毒提供商赛门铁克的研究人员也在这里提供了一个简短的分析。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！