據美國安全廠商FireEye報告：民族國家黑客使用了一款名為TRITON的惡意軟件滲透了一個關鍵基礎設施的安全系統，導致了工控系統關機。該惡意軟件對施耐德電氣SE運行安全系統(Triconex安全儀表系統，簡稱SIS)的工作站進行遠程控制然后試圖重新編程用于監視工廠的控制器是否存在潛在的安全問題。

　　TRITON是迄今為止發現的第三種能夠破壞工業流程的計算機病毒。前兩種是震網Stuxnet和用于2016年底攻擊烏克蘭電力系統的BlackEnergy。

　　據研究人員分析，導致工控系統關機很可能是為了最終造成物理破壞，而且很可能是國家發起的攻擊行為。目前Fireeye已將此事匯報給了美國國土安全部。

　　流病毒原理：

　　TRITON病毒可以與SIS控制器通訊(例如發送halt等特定命令，或讀取其內存內容)，并利用攻擊者定義的負載對其遠程重新編程。安全研究人員捕獲的TRITON病毒樣本將攻擊者提供的程序添加到Triconex控制器的執行表中，如果控制器失效，TRITON會嘗試讓程序進入運行狀態。在一定的時間窗口后控制器仍未恢復的話，樣本會用無效數據覆蓋惡意程序以掩蓋其蹤跡。

　　攻擊者可以利用TRITON病毒執行以下攻擊：

　　◆攻擊方式1: 利用SIS關閉進程

　　攻擊者可以重新編程SIS邏輯，導致其在安全狀態下也會關閉進程，也就是觸發誤報。進程關閉期間及大型工廠在關閉后的啟動流程都會造成巨大的經濟損失。

　　◆攻擊方式2: 重新編程SIS允許不安全狀態

　　攻擊者可以重新編程SIS允許持續出現不安全的情況，增加了出現物理破壞的風險，例如，SIS功能缺失可能會影響設備、產品、環境和人身安全。

　　◆攻擊方式3: 重新編程SIS允許不安全狀態，并利用DCS導致風險

　　攻擊者可以從DCS操控進程進入不安全狀態，并導致SIS無法正常工作，這可能對人身安全、環境造成影響，或者直接破壞設備，具體取決于進程的物理限制和工廠的設計。

　　安全建議：

　　? 技術上可行的話，將安全系統網絡與進程控制和信息系統網絡進行隔離。能夠對SIS控制器進行編程的工程工作站不應雙宿在任何其他DCS進程控制器或信息系統網絡上。

　　? 利用硬件功能物理控制程序安全控制器，這通常是由物理鑰匙控制的開關。在Triconex控制器上，除了定期的編程事件期間，其他時間鑰匙不應處于PROGRAM模式。

　　? 更改鑰匙位置要執行變更管理流程，定期審計當前的鑰匙狀態。

　　? 對于任何依賴于SIS所提供數據的應用，使用單向網關而不是雙向網絡連接。

　　? 在所有可以通過TCP/IP到達SIS系統的服務器或工作站上，執行嚴格的訪問控制和應用白名單。

　　? 在Monitor ICS網絡通訊中監控非預期的通訊流量及其他異常行為。