電廠示意圖

圖片來源: 

WIKI

鎖定關鍵基礎設施(Critical Infrastructure)的攻墼再起! 資安廠商FireEye揭露,有駭客攻擊電廠工業安全系統,卻意外觸發電廠緊急中斷程序,而造成供電中斷。FireEye表示,從這樣的攻擊模式看不到獲利模式,而且這類攻擊需要有良好的技術資源還要有強而有力的金援,應是一件國家級的攻擊。

攻擊的工作主要使用一隻名為TRITON的複雜惡意程式,TRITON能夠透過讀取以及寫入程式,編寫獨立功能並且藉以查詢Triconex SIS(Safety Instrumented Systems)控制器的狀態,TRITON有能力與SIS控制器溝通,發送暫停或是讀取等命令,駭客並沒有複寫控制器原本的控制程式,而是將他留著,避免觸發錯誤或是例外事件,TRITON則暗地裡操控控制器,還會在控制器執行失敗時,發送命令使其狀態回復為運行狀態,當控制器回復失敗時,也會將惡意軟體所在記憶體位置覆寫上垃圾資料,避免曝露行蹤。

FireEye在報告中指出,這次電廠系統被意外中斷,並非駭客本意,只是還在開發如何讓電廠造成實體傷害的過程,意外觸發了SIS控制器的中斷程序。但FireEye也表示,雖然這次駭客是從施耐德Triconex電器所製造的工業安全系統入侵,但這並非意味著是系統本身漏洞造成的,此次是一個獨立的事件。

由於這是一個基於集成電路的駭客攻擊,FireEye給出了幾點建議,包括應該監控集成電路的網路通訊,以防有不必要的通訊以及攻擊流量產生,另外,網路連線所使用的閘道也應視應用程式的資料流,部分更換為單向閘道,而非總使用雙向閘道。還有狀態控制應該包含實體開關,而非全由程式控制。


Advertisement

更多 iThome相關內容