2017年下半年,恶意软件 Trisis(又称为TRITON)利用了施耐德 Triconex 安全仪表控制系统(SIS,Safety Instrumented System)零日漏洞对中东一家石油天然气工厂发起网络攻击,导致工厂停运。安全研究人员表示,这起事件堪称“分水岭”,其它黑客可能会复制这种模式实施攻击。

事件回顾

2017年8月,沙特阿拉伯一家是石油天然气工厂的员工发现,工厂的工业设备在正常工作时间停止运作最终迫使整个工厂停运。这家公司随即开始检查连接到这些工业设备的工作站,直到技术人员发现一个奇怪的文件“trilog.exe.”,该文件看似来自施耐德电气公司(施耐德电气正是该工厂的技术供应商)。

最初,技术人员认为这可能是软件问题,于是请求施耐德予以协助。同一时间,该公司还通知了全球最大的石油天然气公司沙特阿美石油公司(Saudi   Aramco)。尽管阿美公司不负责这家工厂的日常运营,但与这家工厂的业务有利害关系,并于2017年8月底指派工程师团队检查电脑。五年前阿美公司曾响应过 Shamoon攻击,因此它清楚有必要彻底调查可疑文件。

不久之后,施耐德电气和阿美公司的专家认识到,trilog.exe远比表面看到的要复杂。乍一看,该文件的组成部分包含合法施耐德电气软件的元素,进一步调查后就会发现它并非施耐德的软件,实际上 Trilog.exe 与附带的文件 Library.zip 携带着具有毁灭功能的恶意软件。

2017年8月29,阿美公司的员工将这款恶意软件的代码上传到 VirusTotal扫描,至此首次公开了 Trisis 恶意软件。

2017年9月初,这家受害公司请求 FireEye 旗下 Mandiant 部门协助调查。FireEye 曾在2012年协助调查 Shamoon 攻击,有相关经验。Mandiant 经过调查后发现一款更危险的网络武器,并且可能由政府黑客开发。最初的 Trisis 攻击实际上以失败告终,攻击者犯下了一个配置错误,导致这家工厂的机器在检测到异常后进入故障安全模式,自动关闭。

研究人员认为,攻击者欲使用Trisis造成物理破坏。机器进入故障安全模式可能避免了一场灾难,因为它限制了这款恶意软件的攻击潜力。目前仍不清楚恶意软件 Trisis 当初是如何进入这家公司的网络。FireEye 认为,最初的感染途径可能是网络钓鱼电子邮件或武器化U盘。

各路安全专家踏上解谜之路

Trisis 浮出水面已过去四个多月,网络安全分析师仍未解开 Trisis 幕后黑手的身份之谜。自2017年8月以来,沙特阿拉伯公共部门和私营部门的研究人员一直在研究Trisis的渗透者。

Trisis 这类恶意软件专门设计用来破坏工控系统(ICS),操纵 ICS 可能造成破坏性影响。如今,这起事件的规模及影响日益凸显。多名政府官员和研究团队将这款恶意软件称之为“下一代网络武器”,它属于一种相当危险的工具,它的存在加剧了全球数字军备竞赛。

2017年9月至12月的线索表明,一起出现配置错误的复杂网络攻击会导致设备关闭。目前可以确定的是,Trisis 是一个多阶段恶意软件框架,它与安全研究界之前所了解的恶意软件不同。Trisis 被认为是第5个专门针对 ICS 恶意软件变种,其它此类恶意软件包括 CrashOverride(2016年攻击乌克兰变电站)和最臭名昭著的震网病毒 Stuxnet(2010年破坏伊朗核电站)。

美国网络安全公司Dragos 威胁情报总监塞尔吉奥·卡尔塔吉龙表示,Trisis的影响不难理解。它是首款能远程让民用基础设施进入不安全状态的恶意软件,可能引起工厂关闭或者使人受伤。这起事件再次说明研究人员面临取证困难,但同时也凸显出调查的复杂性和冲突。

Trisis与Stuxnet有什么区别?

专家指出,Trisis 能使施耐德的 Triconex 安全仪表系统(SIS)发生故障。Triconex SIS 是一款逻辑控制器,主要用来管理核电厂、石油天然气生产工厂和造纸厂的物理设备。

一位调查知情人士描述了遭遇 Trisis 感染的 SIS 系统的运作情况:

这些控制器的基本工作职能是...比如涡轮机的转速应当保持在每分钟500转左右,这类控制器类似于安全功能,在涡轮机达到一定转速限度时对其进行减速,当涡轮机的转速达到每分钟700转或800转,控制器将会发挥作用。Trisis 可远程关闭系统,亦或者工作人员可能会修改转速限制,其结果是设备可能会变得不稳定,最终被破坏。如果设备遭到破坏,很可能会使人丧命。

Trisis 的工作方式与 Stuxnet 类似。据悉,美国间谍使用 Stuxnet 影响了核离心机的速度,最终破坏核设施。一些历史学家认为,Stuxnet 行动在一段时间内使伊朗核武器发展倒退数年。

首款专门针对安全仪表系统的恶意软件

与 Stuxnet 一样,Trisis 有能力操纵旋转组件的转速。网络安全公司表示,与国家有关联的黑客组织过去曾尝试使用各类针对ICS的恶意软件。包括 Stuxnet、Havex、Blackenergy2、Crashoverride。

  • Havex也曾被用来入侵ICS制造商的网站,在合法软件下载中布下陷阱;

  • 2015年12月,Blackenergy2被用来攻击乌克兰电网;

  • 2016年12月,Crashoverride被用来攻击乌克兰多个发电厂。

Dragos 的首席执行官兼创始人罗伯特·李表示,只有三款恶意软件对工业环境造成破坏,只有两款恶意软件一直将目标瞄向民用工业基础设施。而 Trisis 属于另一类ICS恶意软件。Trisis 是首款专门针对安全仪表系统的恶意软件。CrashOverride 针对的是电网,而Trisis针对的是旨在保护人身安全的系统,这将是工程界的“分水岭”。

Trisis难倒安全界

Mandiant 参与调查之时,Dragos 在发现 trilog.exe. 后也开始挖掘。此后,Dragos 联系了美国国土安全部(DHS),告知其这款恶意软件具备危险的功能。除了 Dragos,施耐德也联系了 DHS,并提供了了相关信息。经DHS一名发言人证实,DHS 获取了 Trisis 样本,但拒绝透露获取样本的途径及时间。

美国官员希望了解相关信息,美国数千家工业工厂部署了 Triconex  SIS 产品,他们担心 Trisis 可能会潜在影响美国的关键基础设施。FireEye 2017年11月底向DHS提供了 Trisis 细节,此后于12月14日发布博文详述 Trisis 恶意软件。Dragos 也在同一天发布研究报告。2017年12月18日,美国国家网络安全和通信整合中心(NCCIC)也发布了 Trisis 恶意软件分析报告。

美国方面的调查尚无结果

查看Trisis样本的消息人士透露,Trisis 非常难分析,其完整的文件库通过五种不同的编程语言构建,仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士透露,Trisis 甚至难倒了美国国家安全局(NSA)的分析师。美国国家情报总监办公室和 NSA 拒绝对此发表评论。

李表示,目前为止发布的所有报告均是基于这款恶意软件做出的分析,要更深入挖掘,还需购买 Triconex 系统进行测试。消息人士预测,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件。Trisis 的设计相当复杂,价值可达数百万美元。真正看过 Trisis 代码的人就会知道需要投入大量研究和测试工作。

Trisis 代码中隐藏的技术指示器显示,这款恶意软件的开发时间至少可追溯至2016年6月。FireEye 和 Dragos 仍在继续分析这款恶意软件。此外,据消息人士透露,DHS 和 NSA 也在继续研究 Trisis。

幕后黑手仍是谜团

虽然 FireEye 和 Dragos 均认为 Trisis 出自国家支持型黑客之手,但进一步分析并未发现确凿的证据。Trisis 内各种不同的编码指示器从未出现过,任何已知的黑客组织也未使用过这些编码指示器,分析师毫无头绪。

2017年11月,熟悉这起攻击事件的美国政府、承包商及情报官员一直在讨论Trisis 的幕后黑手是否是国家或由某个国家开发之后交给另一国政府。据他们推测,Trisis 是俄罗斯和伊朗合作的成果,但却缺乏证据支撑这样的推断。

美国政府目前的归因能力还有很大的提升空间,这一点在 Trisis 案例中体现得更为明显。每个人都致力于找到答案,但却无人有能力给出答案。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。