研究人员发现专门针对工控系统的TRITON恶意软件

近期国外安全公司FireEye监测到某个专门针对基础设施的工业控制系统进行远程监控甚至是破坏的恶意软件。

该恶意软件目前来看并非是普普通通的计算机病毒， 因其主要用来感染法国企业施耐德电气的工业控制系统。

施耐德电气工业控制系统主要应用于核电站和石油化工厂等， 提供安全单元连锁控制以及危险自动检测停车。

因此在远程控制和接管该控制系统后可以造成严重的破坏， 甚至是在管理人员不知情的情况下关闭警报系统。

疑似背后是由国家资助的攻击行为：

FireEye 在发布的安全报告中称这可能是由国家资助的攻击行为， 同时该恶意软件具有相当复杂的逻辑结构。

攻击者可以远程获得施耐德电气工业控制系统的控制权，接着即可按照所需的操作对工厂进行远程破坏行为。

例如在正常情况下伪造安全警报促使工厂强制停产进行安全检修，停产会给工厂的所有者造成财务上的损失。

同时也可关闭警报系统让工厂在发生危险时无法自动停产，这样如果发生严重安全问题的话会造成人员损伤。

面向中东国家的某个工业组织发起攻击：

该病毒就像是早些年用于破坏伊朗的浓缩铀离心机的震网病毒，专门用于破坏重要工业基础设施的工控系统。

目前研究人员已经发现该病毒面向中东某工业组织发起攻击，不过尚未有详细的攻击报告被公开供我们查看。

按设计逻辑来看该病毒更像是针对少数目标而专门构建的，因此在目标网络环境存在薄弱的情况下即可攻击。

赛门铁克在分析报告中称此类工控系统更应该进行网络隔离，即禁止直接从互联网上远程连接系统进行控制。