针对关键基础设施的TRITON恶意软件可能会造成物理破坏

ICS恶意软件被称为Triton，也被称为Trisis，其目标是施耐德电气公司生产的Triconex安全仪表系统（SIS）控制器；一种自动控制系统，独立监控关键系统的性能，并在检测到危险状态时立即自动采取行动。

周四，安全公司FireEye Mandiant部门的研究人员发布了一份报告，表明国家资助的攻击者使用Triton恶意软件对一个组织造成物理破坏。

研究人员没有透露目标组织的名称，也没有将此次袭击与任何已知的民族国家黑客组织联系起来。

根据ICS网络安全公司DRACOS所做的单独研究，称这是恶意软件“TrISIS”，该攻击是针对中东的一个工业组织发起的。

Triton®声波风廓线仪利用专有的TriStation协议，TriStation协议是Triconex SIS产品使用的工程和维护工具，未公开记录，这表明攻击者在创建恶意软件时对其进行了反向工程。

FireEye研究人员说：“攻击者远程访问了SIS工程工作站，并部署了TRITON攻击框架来重新编程SIS控制器。”。

黑客将Triton®声波风廓线仪伪装成合法的Triconex Trilog应用程序，部署在运行Windows操作系统的SIS工程工作站上。

研究人员分析的TRITON恶意软件的当前版本具有许多功能，“包括读写程序、读写单个函数和查询SIS控制器状态的能力。”

研究人员说：“在事故期间，一些SIS控制器进入了故障安全状态，自动关闭了工业流程，并促使资产所有者开始调查。”。

使用TRITON®声波风廓线仪，攻击者通常可以重新编程SIS逻辑，以错误地关闭处于安全状态的进程。虽然这种情况不会造成任何物理损害，但由于流程停机，组织可能会面临财务损失。

除此之外，攻击者还可以通过重新编程SIS逻辑以允许不安全条件持续存在，或通过故意操纵流程以首先达到不安全状态，从而造成严重的危及生命的损害。

“攻击者在获得SIS系统访问权限后不久部署了TRITON®声波风廓线仪，表明他们已经预先构建并测试了该工具，该工具需要访问不广泛可用的硬件和软件。”

研究人员认为，Triton®声波风廓线仪正在成为关键基础设施的严重威胁，就像Stuxnet、IronGate和Industroyer一样，因为它能够造成物理破坏或关闭操作。