赛门铁克发现了一种针对工业控制系统(ICS)的新木马,这种木马可对任何目标企业造成严重破坏。Triton(Trojan.Trisis)用于与一种名为“安全仪表系统(SIS)”的特殊ICS通讯,将其他逻辑程序部署在这些设备之上,使其无法正常工作。据报道声称,中东地区至少有一家企业遭到了Triton的攻击。
Triton出现于2017年8月之前,可感染连接SIS设备的Windows计算机。得逞后,这种恶意软件将会注入代码,修改SIS设备的行为。然而,目前其所造成的影响尚不明确,因此调查仍在进行之中。
安全仪表系统是一种工业控制系统,用以监测重要系统的表现,并在检测到危险情况后及时做出补救。这涉及到工业系统中的高温和高压读数。SIS可用以检测这种情况,并采取相关措施使受影响系统保持安全状态。
攻击SIS设备可造成对目标企业的破坏,最严重可导致毁坏性破坏。通过对SIS操作的干扰,网络攻击者可使其在工厂中发生故障并停止运行。最坏的情况是,SIS在遭到攻击后发生故障,不能检测到危险事件,因此未能防止工伤事故的发生。后面这种情况较难以实现,这是因为在SIS故障时,网络攻击者还需要确保危险情况的发生才行得通。
虽然原来有少数恶意软件可用以攻击ICS,但Triton是首个攻击SIS设备的首个恶意软件。Stuxnet (W32.Stuxnet)曾经是最出名的ICS恶意软件,用以攻击伊朗铀浓缩计划中所用的可编程逻辑控制器(PLC)。
据了解,Dragonfly网络间谍团伙也将目标瞄准ICS,并曾攻击很多ICS供应商,并用Oldrea 木马(Backdoor.Oldrea)(即Havex)来感染他们的软件。
2016年未,Disakil磁盘数据清除恶意软件(Trojan.Disakil)被用以攻击乌克兰的能源行业,其中包含的一个组件专门用来攻击SCADA (数据采集与监控)ICS系统。该恶意软件试图阻止和删除软件用来与SCADA系统通讯的服务。
Triton的针对性似乎很强,这意味着网络攻击者可能会关注一个特定目标或少量目标。虽然如此,赛门铁克仍建议SIS设备的用户应及时检查运行安全并遵循制造商的最佳实践,例如确保安全系统部署在隔离的网络之上,且未经授权的人员不可访问SIS设备。
赛门铁克将继续对这种威胁进行研究。
为了保护用户免受上述攻击,赛门铁克采取了以下保护:
反病毒
Symantec IOT Critical System Protection(赛门铁克物联网关键系统保护客户端)也能阻挡这种威胁。