工控系统恶意软件Trisis让安全界“寝食难安”

1月28日讯 2017年下半年，恶意软件Trisis（又称为TRITON）利用了施耐德Triconex 安全仪表控制系统（SIS，Safety Instrumented System）零日漏洞对中东一家石油天然气工厂发起网络攻击，导致工厂停运。安全研究人员表示，这起事件堪称“分水岭”，其它黑客可能会复制这种模式实施攻击。



事件回顾
2017年8月，沙特阿拉伯一家是石油天然气工厂的员工发现，工厂的工业设备在正常工作时间停止运作最终迫使整个工厂停运。这家公司随即开始检查连接到这些工业设备的工作站，直到技术人员发现一个奇怪的文件“trilog.exe.”，该文件看似来自施耐德电气公司（施耐德电气正是该工厂的技术供应商）。

最初，技术人员认为这可能是软件问题，于是请求施耐德予以协助。同一时间，该公司还通知了全球最大的石油天然气公司沙特阿美石油公司（Saudi Aramco）。尽管阿美公司不负责这家工厂的日常运营，但与这家工厂的业务有利害关系，并于2017年8月底指派工程师团队检查电脑。五年前阿美公司曾响应过Shamoon攻击，因此它清楚有必要彻底调查可疑文件。

不久之后，施耐德电气和阿美公司的专家认识到，trilog.exe远比表面看到的要复杂。乍一看，该文件的组成部分包含合法施耐德电气软件的元素，进一步调查后就会发现它并非施耐德的软件，实际上Trilog.exe与附带的文件Library.zip携带着具有毁灭功能的恶意软件。




2017年8月29，阿美公司的员工将这款恶意软件的代码上传到VirusTotal 扫描，至此首次公开了Trisis恶意软件。

2017年9月初，这家受害公司请求FireEye旗下Mandiant部门协助调查。FireEye 曾在2012年协助调查Shamoon攻击，有相关经验。Mandiant经过调查后发现一款更危险的网络武器，并且可能由政府黑客开发。最初的Trisis攻击实际上以失败告终，攻击者犯下了一个配置错误，导致这家工厂的机器在检测到异常后进入故障安全模式，自动关闭。

研究人员认为，攻击者欲使用Trisis造成物理破坏。机器进入故障安全模式可能避免了一场灾难，因为它限制了这款恶意软件的攻击潜力。目前仍不清楚恶意软件Trisis当初是如何进入这家公司的网络。FireEye认为，最初的感染途径可能是网络钓鱼电子邮件或武器化U盘。

各路安全专家踏上解谜之路
Trisis浮出水面已过去四个多月，网络安全分析师仍未解开Trisis幕后黑手的身份之谜。自2017年8月以来，沙特阿拉伯公共部门和私营部门的研究人员一直在研究Trisis的渗透者。
Trisis这类恶意软件专门设计用来破坏工控系统（ICS），操纵ICS可能造成破坏性影响。如今，这起事件的规模及影响日益凸显。多名政府官员和研究团队将这款恶意软件称之为“下一代网络武器”，它属于一种相当危险的工具，它的存在加剧了全球数字军备竞赛。

2017年9月至12月的线索表明，一起出现配置错误的复杂网络攻击会导致设备关闭。目前可以确定的是，Trisis是一个多阶段恶意软件框架，它与安全研究界之前所了解的恶意软件不同。Trisis被认为是第5个专门针对ICS恶意软件变种，其它此类恶意软件包括CrashOverride（2016年攻击乌克兰变电站）和最臭名昭著的震网病毒Stuxnet（2010年破坏伊朗核电站）。

美国网络安全公司Dragos 威胁情报总监塞尔吉奥·卡尔塔吉龙表示，Trisis的影响不难理解。它是首款能远程让民用基础设施进入不安全状态的恶意软件，可能引起工厂关闭或者使人受伤。这起事件再次说明研究人员面临取证困难，但同时也凸显出调查的复杂性和冲突。




Trisis与Stuxnet有什么区别？
专家指出，Trisis能使施耐德的Triconex安全仪表系统（SIS）发生故障。Triconex SIS是一款逻辑控制器，主要用来管理核电厂、石油天然气生产工厂和造纸厂的物理设备。

一位调查知情人士描述了遭遇Trisis感染的SIS系统的运作情况：

这些控制器的基本工作职能是...比如涡轮机的转速应当保持在每分钟500转左右，这类控制器类似于安全功能，在涡轮机达到一定转速限度时对其进行减速，当涡轮机的转速达到每分钟700转或800转，控制器将会发挥作用。Trisis可远程关闭系统，亦或者工作人员可能会修改转速限制，其结果是设备可能会变得不稳定，最终被破坏。如果设备遭到破坏，很可能会使人丧命。

Trisis的工作方式与Stuxnet类似。据悉，美国间谍使用Stuxnet影响了核离心机的速度，最终破坏核设施。一些历史学家认为，Stuxnet行动在一段时间内使伊朗核武器发展倒退数年。

首款专门针对安全仪表系统的恶意软件
与Stuxnet一样，Trisis有能力操纵旋转组件的转速。网络安全公司表示，与国家有关联的黑客组织过去曾尝试使用各类针对ICS的恶意软件。包括Stuxnet、Havex、Blackenergy2、Crashoverride。

Havex也曾被用来入侵ICS制造商的网站，在合法软件下载中布下陷阱；

2015年12月，Blackenergy2被用来攻击乌克兰电网；

2016年12月，Crashoverride被用来攻击乌克兰多个发电厂。

Dragos的首席执行官兼创始人罗伯特·李表示，只有三款恶意软件对工业环境造成破坏，只有两款恶意软件一直将目标瞄向民用工业基础设施。而Trisis属于另一类ICS恶意软件。Trisis是首款专门针对安全仪表系统的恶意软件。CrashOverride针对的是电网，而Trisis针对的是旨在保护人身安全的系统，这将是工程界的“分水岭”。




Trisis难倒安全界
Mandiant参与调查之时，Dragos在发现trilog.exe.后也开始挖掘。此后，Dragos联系了美国国土安全部（DHS），告知其这款恶意软件具备危险的功能。除了Dragos，施耐德也联系了DHS，并提供了了相关信息。经DHS一名发言人证实，DHS获取了Trisis样本，但拒绝透露获取样本的途径及时间。

美国官员希望了解相关信息，美国数千家工业工厂部署了Triconex SIS产品，他们担心Trisis可能会潜在影响美国的关键基础设施。FireEye 2017年11月底向DHS提供了Trisis细节，此后于12月14日发布博文详述Trisis恶意软件。Dragos也在同一天发布研究报告。2017年12月18日，美国国家网络安全和通信整合中心（NCCIC）也发布了Trisis恶意软件分析报告。

美国方面的调查尚无结果
查看Trisis样本的消息人士透露，Trisis非常难分析，其完整的文件库通过五种不同的编程语言构建，仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士透露，Trisis甚至难倒了美国国家安全局（NSA）的分析师。美国国家情报总监办公室和NSA拒绝对此发表评论。

李表示，目前为止发布的所有报告均是基于这款恶意软件做出的分析，要更深入挖掘，还需购买Triconex系统进行测试。消息人士预测，一支专业的恶意软件开发团队也需要花上一年时间才能开发出与Trisis相匹敌的恶意软件。Trisis的设计相当复杂，价值可达数百万美元。真正看过Trisis代码的人就会知道需要投入大量研究和测试工作。

Trisis代码中隐藏的技术指示器显示，这款恶意软件的开发时间至少可追溯至2016年6月。FireEye和Dragos仍在继续分析这款恶意软件。此外，据消息人士透露，DHS和NSA也在继续研究Trisis。

幕后黑手仍是谜团
虽然FireEye和Dragos均认为Trisis出自国家支持型黑客之手，但进一步分析并未发现确凿的证据。Trisis内各种不同的编码指示器从未出现过，任何已知的黑客组织也未使用过这些编码指示器，分析师毫无头绪。

2017年11月，熟悉这起攻击事件的美国政府、承包商及情报官员一直在讨论Trisis的幕后黑手是否是国家或由某个国家开发之后交给另一国政府。据他们推测，Trisis是俄罗斯和伊朗合作的成果，但却缺乏证据支撑这样的推断。

美国政府目前的归因能力还有很大的提升空间，这一点在Trisis案例中体现得更为明显。每个人都致力于找到答案，但却无人有能力给出答案。