TRITON 亦稱為「TRISIS」(趨勢科技命名為 TROJ_TRISIS.A) 是一個近期發現的惡意程式,專門入侵工業安全系統, 最知名的就是中東某工廠生產停頓的案例。歹徒所攻擊的系統廣泛應用在各種產業,尤其是能源產業,所以很多其他機構仍有遭到攻擊的危險。而且,此次事件可能是駭客為了瞭解系統如何運作以方便日後攻擊而在刺探過程當中不小心導致系統停機。
TRISIS 是有史以來首次出現駭客直接攻擊安全系統的案例。不令人意外,媒體報導也拿 Triton 跟之前的 Stuxnet 相提並論。然而,它到底有何新穎之處?以下我們透過問答的方式來說明Triton 惡意程式,它為何值得關注,以及這對工業控制系統 (ICS) 的安全有何影響。
如何發現?
有兩家資安廠商發布了有關該惡意程式的報告。其中一家在網路上發現了針對 ICS 量身訂製的惡意程式,最早可追溯至 2017 年 11 月中東某受害機構的案例。隨後出現了一篇有關此惡意程式的報告,該報告將它命名為「TRISIS」,因為該程式攻擊的對象是 Schneider Electric 公司所開發的 Triconex 安全儀控系統 (SIS)。同一時間左右,另一家資安廠商也發表另一篇報告來探討他們受委託調查某工廠感染同一惡意程式家族的案例。該資安廠商將此惡意程式命名為「Triton」,同樣也是參考 Triconex 系統的名稱而來。
TRITON/TRISIS 所鎖定的安全儀控系統 (SIS) 到底是什麼?
過去幾年,許多知名的 ICS 相關攻擊都是針對流程控制系統,例如「監控與資料擷取」(Supervisory Control and Data Acquisition,簡稱 SCADA) 系統,因此 SCADA 相關的攻擊目前已相當普遍。不過 TRITON所攻擊的卻是安全控制裝置,也就是所謂的「安全儀控系統」(Safety Instrumented System,簡稱 SIS),因此可算是開創新局。
安全儀控系統的作用是監控工廠流程的一些數值和參數是否維持在一定的作業範圍內。當出現可能造成風險的情況,就會觸動警報,並且讓工廠回復到安全的狀態。或者,若情況已達到危險的程度,就會安全地停止工廠作業。這些安全控制裝置,傳統上屬於獨立的系統,與工廠的其他設備獨立運作,其唯一的作用就是監控安全狀況。就我們所知, Triconex SIS 控制裝置在遭到攻擊時正處於「程式化模式」,而 SIS 也與營運網路相連,這有違一般最佳實務原則。
就一般的 SIS 設計及其可公開取得的資訊來看,歹徒要能設計出如此針對受害者特定系統 (此處為 Schneider Electric 公司 Triconex SIS) 的漏洞攻擊,勢必要事先取得該 SIS 系統的原型,並對其研究透徹。
TRITON 的運作原理與能力為何?
TRITON/TRISIS 是一個極具針對性的惡意程式,因此無法擴大攻擊規模,因為它必須針對其攻擊的目標而修改,因為不同企業和產業所使用的 SIS 系統皆有其獨特之處。所以目前偵測到的變種,僅適用於 Triconex 的產品。
根據前述報告,駭客先從遠端駭入受害者的 SIS,並在某台 Windows 工作站上植入 TRITON 惡意程式來對 SIS 控制器重新程式化。Triconex 公司的 SIS 產品會使用一個叫做「TriStation」的工程師維護工具。TriStation 採用特殊專屬的通訊協定,該協定未對外公開。但 TRITON/TRISIS 卻能夠使用這套通訊協定,顯然駭客在開發惡意程式時很可能已經透過逆向工程方式得知這套協定的運作。
駭客在入侵 SIS 控制器之後,接下來會將裝置重新程式化,刻意觸發安全模式讓系統停機並造成財務損失。另一種作法是,駭客也可能篡改 SIS 的狀態,讓系統在參數已到達危險狀況時仍看起來一切正常,進而釀成意外。根據執行調查的資安機構表示,這不僅可能嚴重影響生產作業和工廠本身,更可能危及人身安全。
受影響的對象為何?
根據目前的報告指出,此惡意程式的受害機構位於中東。但同一類型的安全控制裝置也廣泛應用在一些能源基礎建設上 (如石油與天然氣工廠),有時也用在核子發電廠或製造業。因此我們可以推測,這項攻擊背後的駭客很可能是想要造成重大的實體損害,因此可以排除一般的網路犯罪團體。
這對 ICS 安全意味著什麼?
對 ICS 產業而言,一般皆認為此次的 TRITON/TRISIS 惡意程式是重大事件,但其嚴重性卻受到其他人質疑,因為目前案例很少,而且最終分析報告也尚未公開。但由於它可能造成實體損害,因此被視為是有史以來第五個針對 ICS 的惡意程式,同時也是第一個專門鎖定 SIS 的攻擊,也算是 ICS 威脅領域的一項最新發展。有人認為 TRITON/TRISIS 將成為下一個重要的 ICS 惡意程式,且其背後的動機相當複雜。有關 TRITON 的報導也將它和之前其他 ICS 相關惡意程式做比較,例如 Stuxnet 及 Industroyer 或 BlackEnergy,後三者的主要攻擊目標為烏克蘭境內的電力公司。
其實,針對關鍵基礎架構的攻擊,並以癱瘓、破壞或摧毀系統為目標,並非什麼新鮮手法。這反倒相當符合全球某些駭客團體的攻擊和行動模式。TRITON 看來也是如此,因為它可切斷安全保護機制,進而引發實體損害。今日現代化工業流程控制與自動化系統皆配備各種精密的控制系統與安全功能,並藉由 ICS 內部的「機械式」安全系統來縮小控制器可能造成的機械損害,也就是所謂的「營運技術」(Operational Technology,簡稱 OT)。 所以,安全儀控裝置遭到入侵,並不代表系統安全遭到破壞。不過,TRISIS 可視為 ICS 資產攻擊的延伸,也是另一個網路犯罪集團對 ICS 環境可能造成重大傷害的途徑。以安全系統為攻擊目標當然還算是新的手法,而且雖然我們尚未看到實際的損害案例,但駭客在某方面已經宣告了安全系統將是他們下一個目標。
防禦及防範
針對這類事件,最重要的工作是做好防範。針對駭客入侵這點,要追究單一因素並不困難。但其實,企業除了做好基本防護工作之外,最好能針對其 OT 環境好好進行一番檢查。但這並不表示建立最佳實務原則不重要,尤其是架設防火牆以及將系統分開獨立,這些都必須融入當初的設計當中,例如工廠的 SIS 就是一個良好範例。內建的設計或許在成本及便利性方面具吸引力,但 TRISIS 這類的案例卻一再證明其可能帶來的網路攻擊風險有多高。
為此,我們在這篇文章當中列出了一些 ICS 最重要的基本防禦策略供您參考。
如需有關 ICS 系統以及這類系統基本組態的更多資訊,請參閱我們的 ICS 元件指南以及 ICS 環境安全指南。
原文出處:TRITON Wielding its Trident – New Malware tampering with Industrial Safety Systems