新型工控惡意軟體Triton捲土重來

• 2020 年 1 月 20 日
• 筆記

據外媒報道，Triton針對關鍵基礎設施的第二次攻擊已啟動，此次事件幕後黑手或為某俄羅斯組織。儘管FireEye公司沒有公布設施的位置和類型等細節，但其表示，襲擊者的意圖是造成嚴重損害。

Fireye認為，在進入安全儀錶系統（SIS）工程工作站之前，最近這次攻擊的黑客組織已經在該設施內潛伏了將近一年。

報告稱，他們沒有使用鍵盤記錄器和截屏器、瀏覽文件或竊取資訊的間諜行為。但PAS Global首席執行官Eddie Habibi表示，一旦SIS受到攻擊，攻擊者就可以改變工廠的運營，從而造成一系列的危害。如果攻擊者打算造成物理破壞，他們很可能並行地訪問其他控制系統，一旦安全系統被破壞，就很可能破壞環境、造成人身傷害，甚至生命損失。

黑客還採取了多種措施來隱藏他們的存在，如：

以合法文件名重新命名惡意文件，例如KB77846376.exe；

使用模仿合法管理員活動的標準工具，包括RDP和PsExec/WinRM；

依賴加密的SSH隧道工具和遠程命令/程式執行；

使用合法用戶或進程不經常使用的目錄；

使用時間戳修改攻擊工具的$STANDARD_INFORMATION屬性等。

Fireye公司建議工業控制系統安全人員應熟悉公司建立的策略、技術和程式，以便分析人員可以檢查他們的系統是否有感染Triton的跡象。