海卫一是最致命的病毒

哈Ha！ 这是Martin Giles于2019年3月5日发布的消息“ Triton是世界上最致命的恶意软件，并且正在传播”的业余翻译。所有插图均由Ariel Davis创作。
破坏者：俄罗斯黑客再次被指控遭受网络攻击。

病毒代码可以禁用旨在防止工业事故的安全系统。 它是在中东发现的，但其背后的黑客将目标锁定在北美和其他国家的公司。


作为经验丰富的信息安全专家，朱利安·加特曼尼斯（Julian Gatmanis）曾多次帮助公司应对网络威胁。 但是，2017年夏天，当一名澳大利亚安全顾问被要求在沙特阿拉伯进行石化产品生产时，他发现了一些使他的血液冷的东西。

黑客发布了允许他们控制工业安全系统的恶意软件。 监管机构和相关软件是防御威胁生命的灾难的最后一道防线。 假定它们将在检测到危险情况时进行干预，并且可以将过程恢复到安全水平，或者通过激活卸压装置或关闭阀门将其完全关闭。

恶意软件使您可以远程控制安全系统。 如果攻击者关闭或干扰这些系统的运行，然后使设备使用其他软件发生故障，则后果可能会非常可怕。 幸运的是，代码中的错误使黑客没有受到任何伤害。 2017年6月的安全响应导致生产停顿。 后来，在八月，其他几个系统被关闭-这激起了另一个工作停顿。

第一次事故是错误地归因于机械故障。 第二次事故发生后，业主致电专家进行调查。 他们发现了一种被称为Triton（有时称为Trisis）的病毒。 他的目标是法国公司Schneider Electric创建的Triconex控制器模型。

在最坏的情况下，病毒代码可能导致硫化氢的释放或引起爆炸，从而危害工作场所和周围地区的生命。

Gatmanis回忆说，在第二次事故发生后，在生产中重新开始处理病毒是一件同样麻烦的事。

“我们知道我们不能依靠安全系统的完整性。 这比以往任何时候都要糟糕。”

攻击工厂的黑客越过了令人恐惧的Rubicon。 网络安全领域首次面临专门设计用于使人们的生命遭受致命危险的代码。 这样的安全系统不仅可以在石油化学工业中找到，而且可以在石油工业中找到。 从运输或水处理厂到核电厂，这是所有领域的最后前沿。

Triton的发现引发了有关黑客如何进入这些关键任务系统的疑问。 工业设施将通信集成到所有类型的设备中，这种现象称为物联网。 这种连接使工作人员可以远程控制设备，快速收集数据并提高操作效率，但与此同时，黑客可以获得更多潜在目标。

海卫一的创造者现在正在寻找新的受害者。 专门从事工业网络安全的公司Dragos声称，过去一年来出现的证据表明，一群黑客使用相同的数字情报方法来检测包括北美在内的中东以外的目标。 它们创建的代码变体可能危害更多的安全系统。

战斗准备

关于Triton存在的新闻出现在2017年12月，尽管车主的个人数据被保密。 （参与调查的加特马尼斯人和其他专家拒绝透露公司名称，因为担心这会阻止未来的受害者私下分享有关网络攻击的信息。）

在过去的几年中，专门从事信息安全的公司一直在追逐该病毒，并试图找出谁在支持其发展。 他们的调查描绘了一个令人震惊的画面：由一群坚定而耐心的黑客创建和托管了一种复杂的网络武器，这些黑客的身份仍然未知 。

黑客于2014年出现在石化公司的公司网络内。此后，他们找到了进入公司生产网络的方法，最有可能是通过配置不良的防火墙中的漏洞执行的，该漏洞的目的是防止未经授权的访问。 他们进入了工程工作站，或者在Windows代码中使用了未更正的错误，从而拦截了所有员工数据。

由于工作站已连接到企业安全系统，因此黑客能够研究硬件控制器系统的模型以及仪器内存中内置的软件版本，从而影响它们之间的信息传输。

然后，他们可能会获得相同的控制器模型，并用它来测试恶意软件。 这样就可以模仿协议并建立允许工程师站与安全系统进行交互的数字规则。 黑客还在Triconex内置程序中发现了“零日漏洞”（以前未知的错误）。 这样就可以将代码输入到安全系统的内存中，从而保证可以随时访问控制器。 因此，攻击者可以命令安全系统关闭，然后在其他恶意程序的帮助下，在企业中引发不安全的情况。

结果可能很棒。 最严重的工业事故还与有毒气体泄漏有关。 1984年12月，印度博帕尔的联合碳化物农药生产厂释放出巨大的有毒烟雾云，造成数千人死亡。 原因：服务差和人为因素。 另外，工厂安全系统的故障和不正常运行意味着他的最后一道防线失败了。

战斗准备更强

很少有黑客尝试使用网络空间造成人身伤害的情况。 例如，Stuxnet-数百个伊朗核离心机失控并自毁（2010年）。 另一个例子，CrashOverride是乌克兰能源系统的黑客罢工（2016年）。 （我们的侧边栏包含这些攻击和其他一些网络物理攻击的摘要。）

但是，即使是最悲观的网络Kassander也没有看到Triton这样的恶意软件。

“似乎从安全上讲，针对安全系统似乎在道德上和技术上都非常困难，”现任在德拉戈斯工作的前美国海军军官乔·斯洛维克解释说。

其他专家也震惊地看到了杀手级代码的消息。

埃森哲专门研究工业网络安全的顾问布拉德福德·赫格瑞特说：“即使是Stuxnet和其他病毒，也从来没有如此公然和明确的意图伤害人。”

最有可能的是，当来自俄罗斯，伊朗和朝鲜等国家的黑客加强对“关键基础设施”领域的研究后 ，该恶意软件就暴露出来了。 石油和天然气公司，电力公司，运输网络对现代经济至关重要。

去年，美国情报总监登·科茨（ Den Coats）在一次演讲中警告说，瘫痪美国重要基础设施的网络攻击的威胁正在增加。 他与美国情报机构在2001年9月11日之前注册的恐怖组织的网络活动增加有相似之处。

“将近二十年后，我在这里发出警告，指示灯再次闪烁红色。 如今，为我们国家服务的数字基础设施确实受到了攻击。

起初，特里顿似乎是伊朗的工作，伊朗是沙特阿拉伯的死敌。 在去年10月发布的一份报告中，一开始就参与调查的信息安全公司FireEye将责任归咎于另一个国家：俄罗斯。

黑客对代码的元素进行了测试，以使其检测成为防病毒软件无法完成的任务。 FireEye发现了公司网络上的黑客遗忘的文件，并且能够从同一测试台上跟踪其他文件。 它们包含几个用西里尔字母表示的名称和一个用于启动与病毒相关的操作的IP地址。

该地址已在莫斯科中央化学与机械研究所注册，该研究所是致力于关键基础设施和工业安全的政府组织。 FireEye还报告了表明该研究所教授参与的证据。 尽管如此，该报告指出，FireEye找不到能够明确表明该研究所参与Triton开发的证据。

研究人员仍在研究病毒的起源，因此关于作者黑客的理论可能会更多。 同时，Gatmanis希望帮助公司从沙特工厂的类似经验中学到重要的教训。 在1月的S4X19工业安全会议上，他概述了其中的一些。 例如，Triton攻击的受害者忽略了由恶意软件触发的大量防病毒警报； 她也无法检测到她网络中的异常流量。 工人还把控制Triconex系统中设置的物理键留在了可以远程访问仪器软件的位置。

这听起来像是没有希望的情况，但加特马尼斯（Gatmanis）声称并非如此。

Gatmanis解释说：“在许多美国工厂中，（在我对网络安全的态度上）我的成熟度比该组织低几倍。”

---

特里顿：时间表

2014年
黑客可以访问沙特阿拉伯工厂的公司网络

2017年六月
首次停产

2017年八月
第二次停产

2017年12月
网络攻击信息发布

2018年十月
FireEye报告说，Triton很可能是在俄罗斯实验室中创建的

2019年一月
出现更多事件信息

---

其他专家指出，为政府工作的黑客已准备好追求相对模糊且难以破解的目标。 安全系统是专门为保护各种进程而设计的，因此对病毒程序进行编程需要大量时间和艰苦的工作。 例如，施耐德电气的Triconex控制器具有许多不同的型号，并且每个型号可以具有不同版本的固件。

黑客花了这么大的钱开发Triton的事实，对Schneider和其他安全供应商（例如Emerson（美国）和Yokogawa（日本））发出了警钟。 施耐德（Schneider）公开分享了有关黑客攻击的详细信息，包括对零日错误的报道，该错误随后得到修复，受到赞扬。 但是，在一月份的演讲中，Gatmanis批评该公司在袭击发生后无法立即与调查人员进行互动。

施耐德（Schneider）得到保证，它与一家遭受网络攻击的公司合作，就像与美国国土安全部和其他进行调查的机构一样。 雇用了更多的人，并且所用固件和协议的安全性得到了增强。

施耐德公司首席执行官安德鲁·克林（Andrew Kling）表示，从这次事件中吸取的重要教训是，公司和设备制造商需要更加注意妥协可能导致灾难的区域，即使对它们的攻击似乎不太可能。 例如，很少使用的软件应用程序和控制仪器交互的旧协议。

克林说：“您可能会认为没有人会因为违反甚至没有记录在案的[某些]晦涩的协议而受到困扰，但您必须问如果这样做会带来什么后果？”

不同的未来？

在过去的十年中，公司已将Internet连接和传感器添加到所有类型的工业设备中。 收集的数据可用于所有内容； 从预防开始，这意味着使用机器学习来更好地预测何时需要这种预防服务，最后是对生产过程进行微调。 使用智能手机和平板电脑远程控制流程也迈出了一大步。

所有这一切都可以使业务效率更高，生产率更高，这解释了为什么监视市场的ARC Group称，它预计在工业互联网设备上花费420亿美元； 例如，智能传感器和自动控制系统。 但是风险也很明显：连接的设备越多，攻击者受到攻击的目标就越多。

为了阻止网络犯罪分子，企业通常采用称为“深度防御”的策略：创建了多个安全级别，并使用防火墙将公司网络与Internet分开。 其他级别的任务是防止黑客访问企业网络和工业控制系统。

保护方法还包括用于检测病毒的防病毒工具，以及越来越多的试图识别IT系统内异常行为的AI软件。

另外，安全控制系统和物理故障安全系统被用作最终保护。 最重要的系统通常具有多个物理副本，以防止元素故障。

该策略已证明其可靠性。 但是，拥有足够时间，金钱和动力来锁定关键基础架构的黑客数量有所增加，并且与Internet连接的系统的增长有所增加-所有这些都意味着过去不能成为未来的可靠指南。

特别是俄罗斯， 表现出了使用软件作为对付可用来测试网络武器的物理目标的武器的愿望。 Triton在沙特阿拉伯的引入表明坚定的黑客愿意花费数年的时间来寻求通过所有这些级别的保护的方法。

幸运的是，沙特阿拉伯企业的攻击者被拦截了，我们了解了更多有关他们如何工作的信息。 这是一个发人深省的提醒，就像其他开发人员一样，黑客也会犯错误。 如果意外引入的错误而不是安全地关闭系统而不是“中和”了安全系统，而这种错误恰好发生在错误或人为因素使关键流程无用的那一刻，该怎么办？

在爱达荷州美国国家实验室等地方工作的专家敦促公司针对 Triton和其他网络物理威胁的出现来审查其所有流程 ，并大幅度减少或完全消除黑客可以通过其访问重要流程的数字路径。 。

公司将不得不承担成本，但是Triton提醒人们，风险正在上升。 Gatmanis认为使用致命病毒的新攻击几乎是不可避免的。

加特马尼斯（Gatmanis）说：“虽然这是第一次，但事实证明这是头一个也是最后一个案例，我会感到非常惊讶”

---