根据 网络安全 研究人员的推断，为国家工作的黑客组织攻击了一个属于 关键基础设施 的安全系统，导致该系统终止了运营。使用复杂的 恶意软件 ，黑客可以对工作站进行远程控制，并关闭系统。Fireeye和赛门铁克的报告均表示攻击者利用了工控恶意软件TRITON，攻击了 施耐德电气公司Triconex安全仪表系统（Triconex Safety Instrumented System，SIS） [出自:jiwo.org]

黑客触发了工控安全入侵检测探针

在网络安全公司FireEye披露的一起网络攻击事件中，黑客触发了施耐德电气SE公司设在一家工业厂房内的Triconex工业安全入侵检测探针，该入侵触发器为Triconex用户发布安全警报，广泛应用于能源行业，包括石油天然气工厂和核设施。

尽管FireEye和施耐德拒绝透露及确定受害者、行业或攻击地点，但 网络安全 公司Dragos声称黑客以中东袭击为目标，而 另一家公司CyberX声称受害者在沙特阿拉伯。

可能是第一起发生在工业厂房的攻击事件

这是第一起在工业厂房发生的安全系统攻击事件，这证实了人们的担心，黑客越来越重视攻击公用事业、工厂和其他类型的关键基础设施。这样的攻击可能会导致这些设施的关闭，或者让黑客能够攻击工业厂房的其他部分，也有可能使运营商无法识别和制止这样的瘫痪攻击。Dragos 威胁情报 负责人塞尔吉奥·卡尔塔吉罗内（Sergio Caltagirone）说。

“这是一个分水岭，”

“其他人最终会赶上，并试图复制这种攻击。”

攻击事件导致某些控制器关闭

使用复杂的 恶意软件 ，黑客可以对工作站进行远程控制，并关闭系统。某些控制器一旦进入了故障安全模式，将导致相关进程关闭。 在 施耐德提供给路透社的客户安全警报中，该公司证实，正在与美国国土安全部合作调查这起袭击事件。 该警报信息显示：

有证据表明这是一个孤立的事件，并且问题并不是由于Triconex系统或其程序代码中的漏洞，

我们将继续调查，看看是否有更多的攻击向量。

FireEye报告称攻击者采用 工控恶意软件 TRITON

FireEye表示，其最近组建了Mandiant团队来调查一项事件。在这项事件中，攻击者部署了恶意软件以操纵为工厂工业流程提供紧急关闭功能的系统。

Mandiant的调查发现了TRITON，一种旨在篡改施耐德电气公司所谓Triconex安全仪表系统（Triconex Safety Instrumented System，SIS）行为的恶意软件。很多工业工厂使用SIS来独立监控关键系统，确保它们在可接受的安全阈值范围内工作，并在超过阈值时自动关闭。TRITON被伪装成Triconex SIS用来审查日志的合法应用程序。

在本周FireEye报告的事件中，攻击者显然设法获取了运行Windows的Triconex SIS工作站的远程访问权限，然后在其上安装TRITON，以重新编程SIS控制器的应用程序内存。据FireEye所称，在此过程中，一些SIS控制器进入了失败的安全模式，促使工业过程自动关闭。

工业过程的关闭似乎是无意中触发的。但恶意软件更大的目标好像是试图找到一种方法，通过重新编程SIS控制器来造成设备的物理损坏。

这样的侵入可以令攻击者操纵SIS，进而让不安全的情况持续下去并导致系统故障。或者，攻击者能够通过被入侵的系统通过误告警不停地触发关闭。

赛门铁克表示9月份就注意到工控恶意软件TRITON攻击SIS

赛门铁克在一份咨询报告中表示，其至少从今年9月开始就注意到TRITON瞄准了SIS。该恶意软件通过感染与SIS工作站或设备相连的Windows系统来生效。

“该恶意软件随后会注入能篡改SIS设备行为的代码。”

赛门铁克表示，其仍在调查TRITON可能造成的损害类型，但指出这个恶意软件有可能对目标组织造成严重干扰。

FireEye表示威胁源起方是由民族国家资助的黑客组织

FireEye说，一些线索表明攻击的幕后黑手是民族国家资助的威胁发起者。首先，攻击者一点都没显示出追求货币收益的动机，并且视乎对通过SIS引发高影响力攻击很感兴趣。攻击者在获得SIS访问权限之后，几乎立刻部署了TRITON，表明该恶意软件是事前开发并通过了专用设备和工具的测试，而普通网络犯罪分子是拿不到这些设备和工具的。

CyberX工业网络安全副总裁Phil Neray表示，该公司有证据指出沙特阿拉伯可能是袭击的目标。这使得伊朗成为攻击嫌疑人。伊朗被认为是几年前沙特阿美公司遭到攻击的幕后黑手，这次攻击摧毁了数以千计的个人电脑。

借助客户端的机密性，FireEye拒绝透露攻击者如何获得工作站的权限。但该公司指出，理想情况下，安全仪表系统必须与工程控制和信息系统网络隔离开来。

在过去几年中，许多组织已经将这些系统与其他分布式控制系统（DCS）结合起来。这些分布式控制系统让操作人员能监控和管理关键系统。FireEye指出，TRITON突显了允许DCS和SIS网络间通信的组织在运行时的风险。