返回

针对关键基础设施的TRITON恶意软件可能会造成物理破坏

发布时间:2022-09-25 08:20:46 616
# 研究# 攻击# 黑客# 工具# 软件
triton-ics-scada-malware


ICS恶意软件被称为Triton,也被称为Trisis,其目标是施耐德电气公司生产的Triconex安全仪表系统(SIS)控制器;一种自动控制系统,独立监控关键系统的性能,并在检测到危险状态时立即自动采取行动。

周四,安全公司FireEye Mandiant部门的研究人员发布了一份报告,表明国家资助的攻击者使用Triton恶意软件对一个组织造成物理破坏。

研究人员没有透露目标组织的名称,也没有将此次袭击与任何已知的民族国家黑客组织联系起来。

根据ICS网络安全公司DRACOS所做的单独研究,称这是恶意软件“TrISIS”,该攻击是针对中东的一个工业组织发起的。
 

Triton®声波风廓线仪利用专有的TriStation协议,TriStation协议是Triconex SIS产品使用的工程和维护工具,未公开记录,这表明攻击者在创建恶意软件时对其进行了反向工程。

FireEye研究人员说:“攻击者远程访问了SIS工程工作站,并部署了TRITON攻击框架来重新编程SIS控制器。”。

黑客将Triton®声波风廓线仪伪装成合法的Triconex Trilog应用程序,部署在运行Windows操作系统的SIS工程工作站上。

研究人员分析的TRITON恶意软件的当前版本具有许多功能,“包括读写程序、读写单个函数和查询SIS控制器状态的能力。”

研究人员说:“在事故期间,一些SIS控制器进入了故障安全状态,自动关闭了工业流程,并促使资产所有者开始调查。”。

使用TRITON®声波风廓线仪,攻击者通常可以重新编程SIS逻辑,以错误地关闭处于安全状态的进程。虽然这种情况不会造成任何物理损害,但由于流程停机,组织可能会面临财务损失。
 

除此之外,攻击者还可以通过重新编程SIS逻辑以允许不安全条件持续存在,或通过故意操纵流程以首先达到不安全状态,从而造成严重的危及生命的损害。

“攻击者在获得SIS系统访问权限后不久部署了TRITON®声波风廓线仪,表明他们已经预先构建并测试了该工具,该工具需要访问不广泛可用的硬件和软件。”

研究人员认为,Triton®声波风廓线仪正在成为关键基础设施的严重威胁,就像Stuxnet、IronGate和Industroyer一样,因为它能够造成物理破坏或关闭操作。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线