SSL信息
Triton恶意软件的设计意图是“明目张胆地伤害人们”。
91%的网络攻击始于电子邮件。令人担忧的统计数字,但人们并没有清楚的意识到其中的利害关系。对许多人来说,遭遇钓鱼攻击可能就只是意味着个人的尴尬处境,也可能是经济上的损失, 毕竟没有危及到生命。不是吗?
然而并非如此。在过去的一年半里,研究人员一直在追踪一种名为“Triton”(有时也称为“Trisis”)的新型恶意软件,该软件能够关闭工业安全仪器系统。这些系统是由物理控制器及相关软件组成,用于预防工业环境中可能发生的危及生命的各种灾难。
2017年夏天,沙特阿拉伯的一家石化工厂因为压力释放装置和关闭阀等部件失灵险些发生灾难,这算是最初与Triton相关的事故了。仅仅因为代码中的一个小小的错误,在工厂工作的人、以及那些不幸生活在周围地区的人们,差点儿受伤甚至死亡。
攻击者很可能在某一刻使用过鱼叉式网络钓鱼来窃取密钥凭据,使他们能够直接访问安全仪表系统。
所以,今天我们将讨论Triton,杀手网络钓鱼软件,以及如何保护你所在机构的电子邮件。
那我们来开始讨论吧。
什么是Triton恶意软件?
Triton恶意软件是一种专门针对工业安全系统的恶意软件,其目的是要引起灾难。它的首次“亮相”(找不到更好的词汇来表达它了)是在2017年针对一家未具名的沙特化学公司进行了攻击,上文提到过。时至今日,这家公司的名字还没有披露。这样做是为了让其他公司可以报告此类攻击。
Triton因其代码中的一个小缺陷而变得有残缺,该缺陷使工厂及时停工,在可能造成任何人身伤害之前提醒该公司注意到了此次攻击。此次事件发生在2017年6月。当时,这被认为只是一个简单的机械故障。但今年8月,该工厂再次停工,这一次,该公司引入调查人员进行了调查。
[朱利安]古特马尼斯回忆说,在石化工厂处理恶意软件是一件伤脑筋的事情,而这家工厂在经历第二次事故后已重新开工。“我们知道我们不能依赖安全系统的完整性,”他说。“这真的是最糟糕的情况了。”
此次攻击直到当年12月才被公开披露,自从发现该恶意软件以来,安全公司和研究人员一直在努力破解它,搞清楚它是如何工作的。
这个恶意软件之所以可怕,是因为它会造成真正的伤害。它不同于劫持某人的文件以勒索赎金或者窃取个人信息,它可能会杀死某个人。
它是非常复杂的。
是什么让Triton恶意软件如此复杂?
首先,Triton背后的人拥有可供他们支配使用的的大量资源,再加上一些高级技术已被串联在一起这一情况,研究人员认为他们背后是一个民族国家。但究竟是哪一个国家呢?这仍然是一个争论点。虽然最初被认为是伊朗,但现在,FireEye(一家美国网络安全公司)将责任归咎于俄罗斯。
不管幕后黑手是谁,这都是这一趋势的一部分,受政府支持的网络攻击者将私营企业作为目标的趋势。去年的Marriott数据泄露就是活生生的另一个例子。
这次攻击实际上开始于2014年,当时攻击者进入了这家工厂运营商的企业网络。某种程度上讲,他们获得了目标工厂网络的访问权,然后,使用可能是通过鱼叉式网络钓鱼获得的凭证,攻击者得到了对工程工作站的访问权。
该工程工作站直接与工厂的安全仪表系统对接,于是该系统向攻击者“透漏”了所使用的制造商和型号及其固件版本。它们在网络中的持久性使攻击者对系统的任何更新都保持可见。
攻击者最终将目标锁定在了Schneider Electric的安全仪器设备,Triconex安全控制器,Triton恶意软件的名称即由此得来。据《MIT Technology Review》报道,在部署该恶意软件之前,为了对其进行测试,攻击者很可能购买了一台Schneider Triconex设备,协助他们编写能够避开恶意软件扫描和其他安全保障措施的代码。
真正“助力”此次攻击的是在Triconex安全控制器中发现了一个新的Zero-day(零日漏洞或零时差漏洞),这进一步增加了Triton成功的机会。
结果是,入侵者持续存在于网络中,注入代码,命令安全设备自行关闭,就像其它恶意软件对工厂造成的严重破坏一样,造成可能非常致命的局面。
“一旦成功,结果可能是可怕的。迄今为止世界上最严重的工业灾难还包括有毒气体泄漏。1984年12月,印度博帕尔的Union Carbide农药厂释放出大量有毒烟雾,造成数千人死亡,更多人严重受伤。造成这种情况的原因是维护不善和人为失误。但该工厂出故障无法运行的安全系统导致最后一道安全防线崩溃了。”
首先,电子邮件安全从来没有像现在这样重要
让我们先从电子邮件安全开始。虽然目前还不能确定这些被盗的工程凭据是通过鱼叉式网络钓鱼获得的,但有报道称确实如此。尽管也有其他方法能够访问终端,但鱼叉式网络钓鱼似乎是最有可能的罪魁祸首。
鱼叉式网络钓鱼的基本原理是网络钓鱼+社会工程。攻击者会针对目标进行一些研究,通常会借助LinkedIn这样的网站,营造一个令人信服的场景,从而获得目标信息。这种类型的网络钓鱼通常都会有一个令人信服的虚假网站,配置了HTTPS安全指示,旨在获取目标信息。
这强调了恰当的网络安全的重要性。考虑到攻击者在网络中的存在,他们很有可能从可信的电子邮件服务器发送一封令人信服的电子邮件,愚弄SPF或DKIM。但S/MIME和电子邮件签名能够防止这种情况的发生。
教员工签名电子邮件和识别电子邮件上的签名,并对他们进行有关电子邮件安全最佳实践方面的教育,对于保持良好的企业安全态势至关重要。你的员工,不管他们的意图如何,都是你最大的威胁。
一本关于电子邮件安全最佳实践的电子书即将会推出。它包括36页的策略和见解,旨在保护组织的电子邮件免受现代企业面临的最危险的威胁。请予以关注。
第二,物联网安全不容忽视
尽管这已经说了很多遍,写了多少遍,现在已经让人厌烦了,但仍有必要重复:保护物联网需要成为每个人(从制造商、供应商到最终用户)的优先事项。因为很可能是针对物联网设备或组件的某一攻击造成人员伤亡。
如果不是因为钓鱼程序的一个小故障,或者更恰当的说是一个疏忽,使工厂在紧急情况下关闭,那么这次网络攻击很有可能实现了那个不幸的里程碑。下次我们也许不会这么幸运了,这种情况已使得安全研究人员彻夜难眠了。
历史上,即使是最具破坏性的恶意软件,也从未试图伤害人类。
前美国海军信息战军官、现就职于Dragos(网络安全公司)的乔 · 斯洛维克(Joe Slowik)解释称:“从道义上讲,攻击安全系统似乎是一个禁区,在技术上也很难做到这一点。”
2010年的Stuxnet就是最著名的例子,它破坏了伊朗核计划的关键系统,导致离心机过热。俄罗斯政府曾使用复杂的恶意软件破坏多个国家的电网。它被命名为Crash Override,我觉得这是根据上世纪90年代的一部通俗电影《Hackers(骇客)》中的角色来命名的,这POODLE攻击更令人震惊。
不管怎样,这凸显了物联网安全的重要性。尽管新兴的互联互通很棒,但仍有一些固有的风险必须加以解决。在很大程度上,工业部门在确保自身安全方面做得相当不错。
工业企业通常通过一种“纵深防御”的战略抵御攻击者。这意味着要创建多个安全层,首先是防火墙,隔离企业网络与互联网。其它安全层用于防止黑客进入工厂网络接触工业控制系统。
这些防御措施还包括发现恶意软件的抗病毒工具,以及越来越多试图发现IT系统中的异常行为的人工智能软件。然后,作为最终的安全后盾,还有安全仪表系统和物理自动防故障装置。最关键的系统通常有多个物理备份,以防止任何一个组件发生故障。
但即使是最好的安全态势也可能被不负责任或疏忽大意的合作伙伴破坏。在这种情况下,攻击者的复杂性给他们带来了许多不受国家支持的黑客所没有的优势,但危害仍来自企业利用的第三方IoT(物联网)设备。这就是为什么我们将安全称为一个生态系统,因为可能不是您的错误导致您受到危害,而是您的错误可能会给他人带来危害。