骇客攻击危及工安！工控安全最后防线，制程安全系统入侵成真

2017年底，位于中东的一家石油工厂突然发生设备故障的紧急事件，导致生产流程被迫中断。由于一些制程安全控制器自动切换至失效保护模式，让该公司察觉事态不对劲，遂寻求资安公司协助事件调查。结果，终于揭发第一起入侵制程安全系统的工控系统安全事件。

根据资安公司FireEye子公司Mandiant与工控安全厂商Dragos各别的调查，皆发现该石油公司所使用的施耐德（Schneider）Triconex制程安全系统（Safety Instrumented System, SIS），被植入特别设计的恶意程式，让攻击者可由远端控制制程安全系统。他们分别将此恶意程式命名为Triton与TRISIS。

Triton是工控安全领域首次被发现的制程安全系统入侵事件，制程安全系统主要监控生产设备的状况，确保生产系统的正常运作，避免发生意外当机与超过负载的危险。制程安全系统通常会连结致动器，以便在超过安全范围时，跳过制程系统的控制权，直接强制制程停止运行。例如制程安全系统可以监测压力与温度感测器，当压力或温度超过安全警界值时，强制关闭压力阀或是停止加热器的运作，以避免压力过大爆炸或燃烧。

在过去几起知名的工控系统安全事件中，不论是入侵伊朗核电厂的Stuxnet恶意程式，或是造成乌克兰大停电的BlackEnergy恶意程式，目的皆为破坏系统，使其运作中断。然而，Triton恶意程式刻意入侵制程安全系统，可操控安全系统，使其保护失效，再让运转的机件超过其安全负荷而失控，影响所及就不再只是营运中断，或是电脑系统故障而已，而可能酿成实体的大灾难。

根据资安专家调查，攻击者先是入侵分散式控制系统DCS（Distributed Control System），继而在SIS制程安全系统的工作站电脑植入一个以Trilog命名的攻击程式，试图伪装成Triconex正常的日志检查档，企图长期寄居而不被察觉。

Trilog攻击程式接着以Triconex系统正常使用的TriStation通讯协定，将恶意程式码载入Triconex控制器，并没有利用零日漏洞入侵Triconex控制器。由于TriStation是施耐德未公开的私有通讯协定，显然攻击者已经以逆向工程手法，成功分析出TriStation通讯协定的细节。

TRISIS攻击流程图（资料来源：Dragos）

资安专家调查发现，这起制程安全系统入侵事件，之所以造成设备运作停摆，并非是攻击者真正发动了攻击，而是攻击者在尝试摸索系统运作逻辑时，触发了Triconex的保护机制。

由于制程安全系统肩负着为系统安全把关的重要任务，其架构设计必须考量备援与高可靠度。以Triconex控制器为例，内建的3个处理器模组是独立且同步运算，系统最后会比对三个模组的运算结果，验证其有效性，以避免采取了错误的决定。此次攻击事件之所以引起厂方的注意，就是因为三个模组的运算结果无法通过有效性验证，导致系统进入失效保护模式。

从这起事件的种种调查结果来看，资安专家普遍认为背后的主谋应该是国家支持的骇客组织，而不是网络犯罪组织。主要是攻击行动锁定制程安全系统，试图造成实体设备破坏的企图非常明显，而这不符合网络犯罪组织所追求的经济效益。

再者，攻击者在入侵SIS工作站之后，很快就部署Triton攻击所需的相关程式，这表示攻击者是有备而来，早就已经在类似的环境测试。而且，攻击者不是利用系统的漏洞入侵，而是以系统正常使用，但未曾公开的通讯协定。

根据迹象显示，如此针对Triconex制程安全系统，特别开发入侵攻击程式，显然攻击者必须投入大量的资源，而若非国家支持的骇客组织，很难有此充沛的资源。

不过，资安专家也提醒大家不必过于恐慌，因为工控设备的共通性不似一般电脑，如Triton所针对的Triconex 3008机型，其采用的处理器与同一系列的其他款式不同，因而攻击程式无法在其他机种上运作。同时，工控系统所控制的设备与运作逻辑也大不相同，很难快速复制同一种攻击程式与攻击方法，因此攻击行动不易于扩大规模。

此外，每个工厂的设备都不尽相同，即便是使用同一个机型的工业系统控制器，其所控制的工业设备不见得一样，而且流程与运作逻辑也大不相同，因此攻击者若想要针对工控系统发动攻击，往往必须花更多时间了解目标对象，很难快速复制同一种攻击程式与攻击方法，一般而言攻击行动不易扩大规模。

然而，Triton的攻击概念却会很快被模仿，可预见未来工控安全的威胁，不仅只是工厂被迫停工而已，亦有可能发生伤害生命的工安事件。Triton攻击的浮出水面，无疑敲响了工控安全与关键基础设施防护的警钟。