特里同狂野

Triton/Trisis恶意软件攻击了一个关键的石油和天然气设施的安全系统,最新消息是该恶意软件在互联网上公开可用。

Aw 195032 Gettyimages油罐

Triton,成为恶意软件12月公开因为它袭击了沙特的一个石油和天然气炼油厂,最近又上了新闻。发布的报告FireEye德拉格上个月详细描述了该恶意软件是如何直接针对关键设施的安全仪表系统(SIS)的。事实证明,自去年12月下旬,也就是报告公开一周后,恶意软件的一些文件就已经在互联网上公开供他人复制。

在8月发生的攻击,目标是该设施的TRICONEX安全系统施耐德电气.设置为SIS控制器重新编程,恶意软件触发了工业过程的安全关闭,这是对安全系统的适当响应。在FireEye和Dragos的报告公布后,施耐德电气发布了一份安全的通知对其客户提供对攻击的认识并重申最好的安全实践(通过施耐德电气系统的漏洞而无法通过漏洞,而是由客户设施忽视。)。

然而,施耐德电气还上传了一个敏感文件,其中包含了Triton框架的主干VirusTotal,一个公开的恶意软件库。尽管施耐德电气收到了从网站上删除该文件的请求,而且速度很快,但该文件已经被复制,并在其他公共网站(如GitHub)上公开。施耐德电气在收集证据时收集的Library.zip文件可能会与另一个名为trilogy .exe的公开文件(由受害公司上传到VirusTotal)结合,以重新创建Triton恶意软件。

Virustotal拥有谷歌,是一个免费的在线服务,使任何人都可以上传要为病毒,蠕虫,特洛伊木马和其他恶意软件扫描的文件。它还用作恶意软件存储库。虽然Schneider Electric所做的符合行业协议 - 令人兴趣的是,使网络界能够分析和回应新的恶意软件 - 它可能并不总是如此。根据我去年初的讨论,DragOS的威胁操作主任Ben Miller,文件上传到Virustotal并不罕见,这将在公共数据库中不安地留下。在Dragos的研究期间,主要是公开的数据朝向开发的数据网络安全威胁的可量化度量在工业控制系统(ICSS)上,米勒发现了核监管委员会的报告,例如非公共名称,以及具有详细电子表格和图纸的变电站维护报告。

Miller推荐使用Virustotal作为数据源,但不需要上传文件。“当你开始上传到它时,那就是事情变得更加有趣的时候,”他说。“还有一些没有传达的DOS和Notes。”

特里同锁不住的

随着野外的一部分Triton,令人担忧的是,对于Mallware的变体再次击打,甚至可能是从其他工业自动化供应商的安全系统重写的。

然而,施耐德电气辩称,Triton并不是完全处于野外。该公司告诉我:“攻击的复杂性、恶意软件以及攻击的方式,意味着我们的其他客户不太可能面临迫在眉睫的威胁。”该公司明确表示,只有在具备以下所有条件的情况下,才可能成功加载恶意软件:

  • 该站点必须使用配置了3008型主处理器和10.0到10.4固件版本的Triconex Tricon控制器。
  • 安全网络必须可以在本地或远程访问。
  • 攻击者必须能够访问连接到该安全网络的TriStation终端或其他机器。
  • Tricon内存保护键开关必须处于程序模式。
  • 按键开关必须留在程序模式足够长的时间,以使攻击发生。

这些要点中的许多都重申了这样一个事实,即攻击之所以能够首先发生,是因为客户端的错误。回顾那些情况,看看我的关于攻击的原始报告

不过,该公司安全服务和销售主管布莱恩·辛格(Bryan Singer)表示,这种恶意软件可能非常危险,因为它是已知攻击载体的升级版IOActive的.他补充说,在近八年前在研究ICS安全项目时,它正在努力完成他的团队可能会发生的事情,该项目研究了对石油和天然气工业安全系统的网络影响。“我们回答说,您可以影响设备的固件并影响安全仪表功能(SIF),”他说。“Triconex恶意软件正在做我们近八年前所说的。”

公司创始人兼首席执行官埃迪•哈比比表示:“在某些情况下,一次成功的trisis式攻击可能会导致灾难性的事故。不是全球.“Triconex的三重模块冗余(TMR)系统是一种安全关键保护层,可以在紧急情况下,当操作人员无法控制整个过程时,优雅、安全地拆除设备。考虑这样一个场景:技术熟练的恶意攻击者侵入了Triconex系统,该系统旨在绕过起下钻功能,安全地关闭炼油厂流体cat裂解装置中的反应堆。这个简单的改变可以充当一个定时炸弹,移除故障保险,最终保护核电站——灾难性事件。”

最重要的是,公司需要采取行动保护自己的运营。但似乎有些人在采取行动方面仍然松懈。

“不幸的是,所有这些警钟实际上还没有把任何人叫醒,”辛格说。“在关键时刻,比如Equifax和Target入侵,以及现在的Triconex,每个人都吓坏了,但什么都不做。我们会在这里看到很多相同的情况:人们会忽视威胁,认为它不会发生在他们身上,因为他们没有成为目标。这将被证明是完全错误的。有太多的攻击机制说它不会发生在我们身上。”

正如哈比比所指出,“IC网络安全行业速度和黑客速度有两种速度。黑客可以比行业更快地移动。由于评估风险,工业可能不会修补数月或以前修补系统。虽然这可能听起来不祥,但行业确实有保障,以保护可靠性和安全性。问题是,当我们在三点攻击中看到时,黑客正在学习更多关于这些系统的信息以及如何操纵它们。“

不过,美国国家安全和关键基础设施项目主任艾米丽·s·米勒(Emily S. Miller)评论说,打补丁在操作环境中往往说起来容易做起来难莫纳纳.“记住,在OT中,我们谈论的是控制可能影响生命的物理过程的设备,而不仅仅是字节和数据,”她说。“正如你在IT环境中所看到的那样,快速修补设备可能会在运营环境中产生真实的、灾难性的后果。”

良好的网络防御

相反,Triton的攻击表明我们需要一种解决网络安全问题的新方法,Miller解释道。她说:“我们不应该继续追踪漏洞,并试图采用IT方法来实现OT安全,而是应该考虑如何让关键设备具有内在的安全性,让黑客更难获得访问权限。”“如果不能访问ICS设备,黑客就无法利用漏洞。当然,深入的防御方法和良好的网络卫生是解决方案的一部分,但当这些技术失败,参与者可以远程访问设备并可能操纵它时,会发生什么?”

歌手和他的团队八年前研究的研究中最大的发现是,Cyber​​security必须作为良好工程设计的关键组成部分。“好消息是我们了解到良好的工程设计作品,”他说。

如果您正在遵循良好的工程实践,则恶意软件不应该是一个大威胁 - 只要您的安全系统从您的网络隔离,歌手笔记。(修玛,专业从事与过程行业的安全相关自动化系统,最近也强调了保持安全和保安系统与过程控制系统物理分离的重要性.)

Singer提供了更多的指导:“常规控制系统应该监视正常的运行状态,但当这些状态变坏时,你应该依赖数字保护系统(如安全仪表系统,如Triconex设备或用于发电的大型涡轮机的机器过载保护设备)。”“这些是确保它不会下降的重要过程。最后一道防线应该是不可关闭的控制装置,如紧急释放阀、机械过载检测装置和阀门止回阀。”

更多控制