2017年底，位于中东的一家石油工厂突然发生设备故障的紧急事件，导致生产流程被迫中断。由于一些制程安全控制器自动切换至失效保护模式，让该公司察觉事态不对劲，遂寻求资安公司协助事件调查。结果，终于揭发第一起入侵制程安全系统的工控系统安全事件。9FN我酷网

根据资安公司FireEye子公司Mandiant与工控安全厂商Dragos各别的调查，皆发现该石油公司所使用的施耐德（Schneider）Triconex制程安全系统（Safety△Instrumented△System, SIS），被植入特别设计的恶意程式，让攻击者可由远端控制制程安全系统。他们分别将此恶意程式命名为Triton与TRISIS。9FN我酷网

Triton是工控安全领域首次被发现的制程安全系统入侵事件，制程安全系统主要监控生产设备的状况，确保生产系统的正常运作，避免发生意外当机与超过负载的危险。制程安全系统通常会连结致动器，以便在超过安全范围时，跳过制程系统的控制权，直接强制制程停止运行。例如制程安全系统可以监测压力与温度感测器，当压力或温度超过安全警界值时，强制关闭压力阀或是停止加热器的运作，以避免压力过大爆炸或燃烧。9FN我酷网

在过去几起知名的工控系统安全事件中，不论是入侵伊朗核电厂的Stuxnet恶意程式，或是造成乌克兰大停电的BlackEnergy恶意程式，目的皆为破坏系统，使其运作中断。然而，Triton恶意程式刻意入侵制程安全系统，可操控安全系统，使其保护失效，再让运转的机件超过其安全负荷而失控，影响所及就不再只是营运中断，或是电脑系统故障而已，而可能酿成实体的大灾难。9FN我酷网

根据资安专家调查，攻击者先是入侵分散式控制系统DCS（Distributed△Control△System），继而在SIS制程安全系统的工作站电脑植入一个以Trilog命名的攻击程式，试图伪装成Triconex正常的日志检查档，企图长期寄居而不被察觉。9FN我酷网

Trilog攻击程式接着以Triconex系统正常使用的TriStation通讯协议，将恶意程式码载入Triconex控制器，并没有利用零日漏洞入侵Triconex控制器。由于TriStation是施耐德未公开的私有通讯协议，显然攻击者已经以逆向工程手法，成功分析出TriStation通讯协议的细节。9FN我酷网

资安专家调查发现，这起制程安全系统入侵事件，之所以造成设备运作停摆，并非是攻击者真正发动了攻击，而是攻击者在尝试摸索系统运作逻辑时，触发了Triconex的保护机制。9FN我酷网

由于制程安全系统肩负着为系统安全把关的重要任务，其架构设计必须考量备援与高可靠度。以Triconex控制器为例，内建的3个处理器模组是独立且同步运算，系统最后会比对三个模组的运算结果，验证其有效性，以避免采取了错误的决定。此次攻击事件之所以引起厂方的注意，就是因为三个模组的运算结果无法通过有效性验证，导致系统进入失效保护模式。9FN我酷网

从这起事件的种种调查结果来看，资安专家普遍认为背后的主谋应该是国家支持的骇客组织，而不是网络犯罪组织。主要是攻击行动锁定制程安全系统，试图造成实体设备破坏的企图非常明显，而这不符合网络犯罪组织所追求的经济效益。9FN我酷网

再者，攻击者在入侵SIS工作站之后，很快就部署Triton攻击所需的相关程式，这表示攻击者是有备而来，早就已经在类似的环境测试。而且，攻击者不是利用系统的漏洞入侵，而是以系统正常使用，但未曾公开的通讯协议。9FN我酷网

根据迹象显示，如此针对Triconex制程安全系统，特别开发入侵攻击程式，显然攻击者必须投入大量的资源，而若非国家支持的骇客组织，很难有此充沛的资源。9FN我酷网

不过，资安专家也提醒大家不必过于恐慌，因为工控设备的共通性不似一般电脑，如Triton所针对的Triconex△3008机型，其采用的处理器与同一系列的其他款式不同，因而攻击程式无法在其他机种上运作。同时，工控系统所控制的设备与运作逻辑也大不相同，很难快速复制同一种攻击程式与攻击方法，因此攻击行动不易于扩大规模。9FN我酷网

此外，每个工厂的设备都不尽相同，即便是使用同一个机型的工业系统控制器，其所控制的工业设备不见得一样，而且流程与运作逻辑也大不相同，因此攻击者若想要针对工控系统发动攻击，往往必须花更多时间了解目标对象，很难快速复制同一种攻击程式与攻击方法，一般而言攻击行动不易扩大规模。9FN我酷网

然而，Triton的攻击概念却会很快被模仿，可预见未来工控安全的威胁，不仅只是工厂被迫停工而已，也有可能发生伤害生命的工安事件。Triton攻击的浮出水面，无疑敲响了工控安全与关键基础设施防护的警钟。9FN我酷网

iThome△Security9FN我酷网

上一篇  下一篇

I 相关 / Other

印度陆军警告中国骇客渗透当地WhatsApp群组

印度陆军通过Twitter警告中国骇客正试图渗透WhatsApp群组。 印度陆军上周六（3/17）通过官方Twitter帐号，公开警告当地的WhatsApp用户应小心中国骇客的入侵。该官方帐号先是以印度文提醒当地的社交媒体用户要注意资

猎杀骇客！趋势科技呼吁建置新型态资安监控

我酷新闻网记者黄有容/台北报道面对骇客攻击技巧不断演化，资安解决方案厂商趋势科技在2018台湾资安大会中呼吁，企业应建置新型态SOC资安监控中心，除了在资安事件发生后追踪恶意程式之外，应加入猎杀骇客概念，掌握

省教育厅部署重点工作 岁末年初筑牢校园安全防线 [快讯]

湖北日报讯(记者方琳、通讯员罗曼)落实落细"一岗三责"，筑牢校园安全防线。日前，省教育厅召开专题会，就岁末年初校园安全等重点工作做出部署。省教育厅要求，结合秋季学期综合督查，以有效防范和坚决遏制校园各类安

飞机“保健医生”张超 十年坚守航空安全防线 [快讯]

央视网消息：2017年首届中国民航机务维修岗位职业技能大赛决赛现场，从全国61家民航机务维修单位的76支参赛队伍中脱颖而出的18支决赛代表队、54名选手，在全国大赛上同台竞技。最终，来自东航技术公司的3名选手以总成

韩媒罕见被国足打服:太丢人了!世界杯主力防线竟被中国二队欺负 [生活]

韩媒罕见被国足打服韩媒罕见被国足打服:太丢人了!世界杯主力防线竟被中国二队欺负，国足2-2平韩国。在结束的东亚杯男足首轮比赛中，中国男足凭借下半场于大宝和韦世豪的进球2比2逼平了韩国男足，在2017年两度与韩国男