CI安全警报再次响起! FireEye:骇客入侵电厂意外触发系统中断供电,疑国家级骇客所为
锁定关键基础设施的攻墼再起! 资安厂商FireEye揭露 ,有骇客攻击电厂工业安全系统,却意外触发电厂紧急中断程序,而造成供电中断。FireEye表示,从这样的攻击模式看不到获利模式,而且这类攻击需要有良好的技术资源还要有强而有力的金援,应是一件国家级的攻击。
攻击的工作主要使用一只名为TRITON的複杂恶意程式,TRITON能够透过读取以及写入程式,编写独立功能并且藉以查询Triconex SIS控制器的状态,TRITON有能力与SIS控制器沟通,发送暂停或是读取等命令,骇客并没有複写控制器原本的控制程式,而是将他留着,避免触发错误或是例外事件,TRITON则暗地里操控控制器,还会在控制器执行失败时,发送命令使其状态回复为运行状态,当控制器回复失败时,也会将恶意软件所在内存位置覆写上垃圾资料,避免曝露行蹤。
FireEye在报告中指出,这次电厂系统被意外中断,并非骇客本意,只是还在开发如何让电厂造成实体伤害的过程,意外触发了SIS控制器的中断程序。但FireEye也表示,虽然这次骇客是从施耐德Triconex电器所制造的工业安全系统入侵,但这并非意味着是系统本身漏洞造成的,此次是一个独立的事件。
由于这是一个基于集成电路的骇客攻击,FireEye给出了几点建议,包括应该监控集成电路的网路通讯,以防有不必要的通讯以及攻击流量产生,另外,网路连线所使用的闸道也应视应用程式的资料流,部分更换为单向闸道,而非总使用双向闸道。还有状态控制应该包含实体开关,而非全由程式控制。