研究人员警告,支撑更多Triton的攻击
尽管攻击者失败,但在2017年12月在中东攻击中东的石油化工厂的攻击者失败,研究人员已经找到了一种成功使用恶意软件的能力的方法。
幸运的是,TRICON系统检测到异常,并表现为通过关闭将工厂带到安全状态,但Nozomi网络的研究人员在拉斯维加斯的黑帽美国展示了他们能够使用恶意软件在Schneider电气的Triconex控制器中实施新程序,这些程序将看到原始攻击成功,具有潜在的灾难性后果。
工业安全研究团队与工业网络攻击者这样的挑战,在线进行研究,包括使用Schneider电气的网站,并与工业组织的运营和安全工作人员一起参与,以更好地了解可能的工作以及如何工作和如何。
Nozomi研究人员购买了构建工作环境所需的组件,其中用于测试恶意软件,包括eBay和阿里巴巴低于10,000美元的在线市场。
创建了一个工作系统,团队反向设计了在与安全仪表系统(SIS)控制器通信的工程工作站上使用的软件的TRISTATION SUITE。结合恶意软件分析,使研究人员能够解析TRICONEX控制器使用的三种专有通信协议。
Triton攻击的娱乐提出了对未来攻击可能性的担忧。“我们可能还没有看到最近的Triton的攻击,”Nozomi的联合创始人和Rea Carcanco讲述了黑帽安全会议的与会者。
在Cybereason的研究人员发表了一份研究报告之后,警告仅仅是一份研究报告,揭示了专门从事工业控制系统的网络攻击者快速,高效,能够在IT和OT环境之间移动。
在业界首次直接攻击工业安全系统的直接攻击中,Carcanco表明Triton攻击可能比最初的想法和共享新工具在对抗Triton的斗争中取得更容易。
他敦促社区致力于更积极地努力解决关键业务网络中的安全差距。
“Triton失败了。然而,现在,随着对攻击的更深入了解,我们相信创建Triton恶意软件所需的努力,技能和财务资源并不像最初的想法那么高。
“我们也知道攻击者可能像注射最终有效载荷一样轻松成功,”卡卡诺说。“这一实现,结合了越来越多的黑客在其景点中具有关键基础设施的知识,我们作为一个社区必须迅速移动,以加强整个行业的网络安全文化,”他说。
Carcano和研究人员展示了如何发展到迄今为止对工业控制系统(IC)的最复杂的攻击之一,为什么攻击失败以及寻求保护关键基础架构的人可以做些什么来帮助保持安全。
团队的调查结果在一个白皮书中详述,描述了攻击的执行以及为什么开发Triton恶意软件可能比以前认为的那样容易。
WhitePaper还包括有关新路径对手的信息,正在进行访问攻击工具和准则和工具,以帮助防止TRITON和类似的攻击。
Triton Malware被认为是一个里程碑的工业网络攻击,因为它是第一个直接与安全系统直接互动,提高网络攻击可能导致不可预测和危险的植物结果的风险,而不会保护最后一行安全防御。
在咨询中,英国的国家网络安全中心(NCSC)表示,Triton代表了ICS攻击方法的进一步演变。
“随着IC越来越多地,威胁演员将继续开发他们的能力来利用它们。咨询说,这种事件强调了实施有效缓解方法的组织的重要性。
Nathalie Marcotte在施耐德电气的工业服务和网络安全高级副总裁和网络安全方案中表示,对于世界上任何地方的任何工业控制和安全系统来说,无论是设计,工程师建造或操作它。
“没有单一实体可以解决这个全球问题;相反,用户,第三方供应商,集成商,标准机构,行业团体和政府机构必须共同努力,帮助全球制造业抵抗网络攻击,保护世界上最关键的运营和我们所有人服务的人民和社区,“她说。