安全研究人員發現了一款專門針對工控安全系統的惡意軟件變體該惡意軟件以施耐德電氣生產的Triconex安全儀表控制系統(SIS)為攻擊目標���,所謂安全儀表系統(SIS)����,又稱為安全聯鎖系統(Safety interlocking System)���,可以監測生產過程中出現的或者潛伏的危險���,發出告警信息或直接執行預定程序�����,立即進入操作��,防止事故的發生、降低事故帶來的危害及其影響��,是工業企業自動控制中的重要組成部分�����。
據悉�,該惡意軟件可以在攻陷SIS系統后�,對SIS系統邏輯進行重編輯,使SIS系統產生意外動作��,對正常生產活動造成影響;或是造成SIS系統失效�����,在發生安全隱患或安全風險時無法及時實行和啟動安全保護機制;亦或在攻陷SIS系統后�����,對DCS系統實施攻擊����,并通過SIS系統與DCS系統的聯合作用,對工業設備����、生產活動以及人員健康造成破壞�。
因此����,該惡意軟件被研究人員命名為“TRISIS”(或TRITON)惡意軟件。
雖然TRITON并不是第一個以工業控制系統(ICS)為攻擊目標的惡意軟件�,但它確實用事實證明��,曾經在很大程度上對網絡威脅免疫的運營網絡,現在正深受攻擊者的青睞�����。
以下是迄今為止有關ICS惡意軟件變體的簡要歷史記錄:2010-震網病毒(Stuxnet)是第一款專門針對SCADA系統(數據采集與監視控制系統)和可編程邏輯控制器(PLC)的惡意軟件��,曾對伊朗的核設施造成了難以估量的損害�,最終導致伊朗擁有核武器的時間延遲了好幾年�。
2013- Havex是一款遠程訪問木馬(RAT)����,被編寫來感染SCADA系統(數據采集與監視控制系統)和工控系統(ICS)中使用的工業控制軟件�,其有能力禁用水電大壩、使核電站過載�����、甚至可以做到一鍵關閉一個國家的電網�����。
此外,它還可以通過掃描受感染的系統來定位網絡上的SCADA或ICS設備�����,并將數據發送回攻擊者處�。
概括而言,Havex是一款用于間諜活動的情報收集工具�����,而并非用于破壞或摧毀工業系統�。
2014- BlackEnergy 2(黑暗力量2.0)是BlackEnergy(出現于2007年)的變種,該惡意軟件的攻擊目標為GE Cimppcity、Advantech/Broadwin WebAccess以及西門子WinCC等少數供應商提供的HMI(人機接口)軟件。
據悉����,該惡意軟件被用于2015年12月攻陷烏克蘭電網的網絡攻擊活動中��。
2016- Crash Override/Industroyer,這是第一款用于攻擊電網系統的已知惡意軟件,并成功實踐于2016年12月針對烏克蘭基輔地區變電站的攻擊活動中�。
ESET將該惡意軟件命名為“Industroyer”�����,Dragos將該惡意軟件命名為“Crash override”。
研究人員表示�,這是一款全新的惡意軟件���,比2015年用于攻擊烏克蘭電網的工具要先進得多����。
而造成Crash override如此高復雜性的原因在于�,它所利用的協議與單個電網系統間進行相互通信所使用的協議相同。
除Crash Override 外����,Stuxnet和Triton也可以訪問這些本地協議。
2017- Triton/Trisys,詳細內容上文已討論�����。
由于大多數ICS環境缺乏可見性���,因此�,一旦攻擊者獲得對運營網絡的訪問權限,組織就很難識別惡意活動�。
惡意軟件攻擊步驟以下是對目標ICS惡意軟件攻擊的詳細步驟分析:
步驟1:攻擊者成功在目標網絡中立足并開始偵察活動��,其中可能包含以下部分或全部內容:一個可能會用于滲透工業網絡的遠程連接;一旦進入網絡,攻擊者就可以掃描受感染網絡來識別ICS設備;由于ICS網絡不使用身份驗證或加密��,所以攻擊者能夠訪問任何系統——包括操作員和工程師工作站�����、人機界面����、Windows服務器或控制器(PLC�,RTU或DCS控制器)——以識別攻擊目標中的資產詳情。
步驟2:攻擊者把通過偵察活動收集到的信息提取到一個異地位置。
這一過程可以通過將來自不同系統的內部消息傳遞給可以將其提取出來的單個位置來實現���。
步驟3:接下來,使用上述步驟1、2中收集到的信息,將惡意軟件安裝在可訪問目標ICS系統的工作站上��。
這一過程可以通過網絡或使用受感染的USB驅動器來完成�����。
步驟4:在最后一個階段中�,惡意軟件會取代現有的邏輯,并將新的梯形邏輯(一種編程語言)上傳到控制器(PLC,RTU或DCS控制器)中�。
由于這一邏輯決定了自動化流程的執行方式�����,因此使用惡意有效負載進行更改或替換會導致系統���、環境和人員的各種操作中斷甚至物理損壞�。
防御建議由于一場成功的網絡攻擊是多階段共同作用的成果,因此檢測過程需要滿足下述要求:識別遠程連接����、網絡掃描�、未經授權的系統訪問以及任何嘗試讀取控制器信息的行為;監視網絡上的工業系統與外部系統之間的通信;檢測任何未經授權的訪問行為�,以及任何針對控制器邏輯、配置和狀態的更改行為等��。
到目前為止����,針對ICS環境的惡意軟件不斷崛起,這一現狀對設施運營商而言也造成了不小的安全挑戰。
因為目前的運營網絡甚至連最基本的安全機制(如訪問控制和加密)都不具備����,更不用說網絡監控���、威脅檢測�����、日志記錄和審計等功能了。
