2017年底,位于中东的一家石油工厂突然发生设备故障的紧急事件,导致生产流程被迫中断。由于一些制程安全控制器自动切换至失效保护模式,让该公司察觉事态不对劲,遂寻求资安公司协助事件调查。结果,终于揭发第一起入侵制程安全系统的工控系统安全事件。
根据资安公司FireEye子公司Mandiant与工控安全厂商Dragos各别的调查,皆发现该石油公司所使用的施耐德(Schneider)Triconex制程安全系统(Safety Instrumented System, SIS),被植入特别设计的恶意程式,让攻击者可由远端控制制程安全系统。他们分别将此恶意程式命名为Triton与TRISIS。
Triton是工控安全领域首次被发现的制程安全系统入侵事件,制程安全系统主要监控生产设备的状况,确保生产系统的正常运作,避免发生意外当机与超过负载的危险。制程安全系统通常会连结致动器,以便在超过安全范围时,跳过制程系统的控制权,直接强制制程停止运行。例如制程安全系统可以监测压力与温度感测器,当压力或温度超过安全警界值时,强制关闭压力阀或是停止加热器的运作,以避免压力过大爆炸或燃烧。
在过去几起知名的工控系统安全事件中,不论是入侵伊朗核电厂的Stuxnet恶意程式,或是造成乌克兰大停电的BlackEnergy恶意程式,目的皆为破坏系统,使其运作中断。然而,Triton恶意程式刻意入侵制程安全系统,可操控安全系统,使其保护失效,再让运转的机件超过其安全负荷而失控,影响所及就不再只是营运中断,或是电脑系统故障而已,而可能酿成实体的大灾难。
根据资安专家调查,攻击者先是入侵分散式控制系统DCS(Distributed Control System),继而在SIS制程安全系统的工作站电脑植入一个以Trilog命名的攻击程式,试图伪装成Triconex正常的日志检查档,企图长期寄居而不被察觉。
Trilog攻击程式接着以Triconex系统正常使用的TriStation通讯协定,将恶意程式码载入Triconex控制器,并没有利用零日漏洞入侵Triconex控制器。由于TriStation是施耐德未公开的私有通讯协定,显然攻击者已经以逆向工程手法,成功分析出TriStation通讯协定的细节。
TRISIS攻击流程图(资料来源:Dragos)
资安专家调查发现,这起制程安全系统入侵事件,之所以造成设备运作停摆,并非是攻击者真正发动了攻击,而是攻击者在尝试摸索系统运作逻辑时,触发了Triconex的保护机制。
由于制程安全系统肩负着为系统安全把关的重要任务,其架构设计必须考量备援与高可靠度。以Triconex控制器为例,内建的3个处理器模组是独立且同步运算,系统最后会比对三个模组的运算结果,验证其有效性,以避免采取了错误的决定。此次攻击事件之所以引起厂方的注意,就是因为三个模组的运算结果无法通过有效性验证,导致系统进入失效保护模式。
从这起事件的种种调查结果来看,资安专家普遍认为背后的主谋应该是国家支持的骇客组织,而不是网络犯罪组织。主要是攻击行动锁定制程安全系统,试图造成实体设备破坏的企图非常明显,而这不符合网络犯罪组织所追求的经济效益。
再者,攻击者在入侵SIS工作站之后,很快就部署Triton攻击所需的相关程式,这表示攻击者是有备而来,早就已经在类似的环境测试。而且,攻击者不是利用系统的漏洞入侵,而是以系统正常使用,但未曾公开的通讯协定。
根据迹象显示,如此针对Triconex制程安全系统,特别开发入侵攻击程式,显然攻击者必须投入大量的资源,而若非国家支持的骇客组织,很难有此充沛的资源。
不过,资安专家也提醒大家不必过于恐慌,因为工控设备的共通性不似一般电脑,如Triton所针对的Triconex 3008机型,其采用的处理器与同一系列的其他款式不同,因而攻击程式无法在其他机种上运作。同时,工控系统所控制的设备与运作逻辑也大不相同,很难快速复制同一种攻击程式与攻击方法,因此攻击行动不易于扩大规模。
此外,每个工厂的设备都不尽相同,即便是使用同一个机型的工业系统控制器,其所控制的工业设备不见得一样,而且流程与运作逻辑也大不相同,因此攻击者若想要针对工控系统发动攻击,往往必须花更多时间了解目标对象,很难快速复制同一种攻击程式与攻击方法,一般而言攻击行动不易扩大规模。
然而,Triton的攻击概念却会很快被模仿,可预见未来工控安全的威胁,不仅只是工厂被迫停工而已,亦有可能发生伤害生命的工安事件。Triton攻击的浮出水面,无疑敲响了工控安全与关键基础设施防护的警钟。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09