CI安全警报再次响起!FireEye：骇客入侵电厂意外触发系统中断供电，疑国家级骇客所为

锁定关键基础设施(Critical Infrastructure)的攻墼再起! 资安厂商FireEye揭露，有骇客攻击电厂工业安全系统，却意外触发电厂紧急中断程序，而造成供电中断。FireEye表示，从这样的攻击模式看不到获利模式，而且这类攻击需要有良好的技术资源还要有强而有力的金援，应是一件国家级的攻击。

攻击的工作主要使用一只名为TRITON的复杂恶意程式，TRITON能够透过读取以及写入程式，编写独立功能并且藉以查询Triconex SIS（Safety Instrumented Systems）控制器的状态，TRITON有能力与SIS控制器沟通，发送暂停或是读取等命令，骇客并没有复写控制器原本的控制程式，而是将他留着，避免触发错误或是例外事件，TRITON则暗地里操控控制器，还会在控制器执行失败时，发送命令使其状态回复为运行状态，当控制器回复失败时，也会将恶意软件所在内存位置覆写上垃圾资料，避免曝露行踪。

FireEye在报告中指出，这次电厂系统被意外中断，并非骇客本意，只是还在开发如何让电厂造成实体伤害的过程，意外触发了SIS控制器的中断程序。但FireEye也表示，虽然这次骇客是从施耐德Triconex电器所制造的工业安全系统入侵，但这并非意味着是系统本身漏洞造成的，此次是一个独立的事件。

由于这是一个基于集成电路的骇客攻击，FireEye给出了几点建议，包括应该监控集成电路的网络通讯，以防有不必要的通讯以及攻击流量产生，另外，网络连线所使用的闸道也应视应用程序的资料流，部分更换为单向闸道，而非总使用双向闸道。还有状态控制应该包含实体开关，而非全由程控。