黑客攻擊能產(chǎn)生多大的破壞效果？

委內(nèi)瑞拉的國(guó)民可以現(xiàn)身說法。兩個(gè)月前，委內(nèi)瑞拉全國(guó)發(fā)生大規(guī)模停電事件，影響 23 個(gè)州中的 18 個(gè)州，傳言這事是美國(guó)發(fā)動(dòng)了黑客攻擊，雖然美國(guó)沒認(rèn)，但是人家的國(guó)務(wù)卿跟自家總統(tǒng)一個(gè)做派，大喇喇地發(fā)了條推文印證了這個(gè)說法：“No food. No medicine. Now， no power. Next， no Maduro.（沒吃沒藥沒電，下一步，沒總統(tǒng)。）”

委內(nèi)瑞拉別哭，前面烏克蘭的兄弟也被“襲擊”過兩次，傳聞是俄羅斯干的。

還有很多奇奇怪怪的大規(guī)模工業(yè)襲擊都是黑客干的，比如澳大利亞馬盧奇污水處理廠曾被非法入侵，無線連接信號(hào)丟失、污水泵工作異常、報(bào)警器也沒有報(bào)警。

這個(gè)事情有多嚴(yán)重？

前工程師 Vitek Boden 因不滿工作續(xù)約被拒而蓄意報(bào)復(fù)，通過一臺(tái)手提電腦和一個(gè)無線發(fā)射器控制150個(gè)污水泵站長(zhǎng)達(dá)三個(gè)多月，在此期間，共計(jì)有 100 萬公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。

2016年，又有黑客利用美國(guó)賓夕法尼亞州哈里斯堡市一家自來水廠員工的個(gè)人電腦入侵了該廠負(fù)責(zé)水過濾的電腦系統(tǒng)，并在水過濾電腦上安裝間諜軟件，利用受感染主機(jī)向外發(fā)送電子郵件和盜版軟件，與此同時(shí)，黑客還修改了該電腦的登錄密碼，致使水廠管理員也不能夠進(jìn)入操作系統(tǒng)。

不是水，就是電，還有工廠什么的，都是關(guān)鍵的工業(yè)基礎(chǔ)設(shè)施，這比破解個(gè)攝像頭密碼，分分鐘來場(chǎng)不可描述的直播更可怕（當(dāng)然，這也很可怕）。

黑客們到底用了什么厲害的武器搞這些攻擊？我們來盤點(diǎn)一下：

1、Stuxnet：工控網(wǎng)絡(luò)攻擊的里程碑

Stuxnet（又稱作超級(jí)工廠、震網(wǎng)，雙子），是 Windows 平臺(tái)上的惡意代碼，于 2010 年 6 月被白俄羅斯的一家安全公司（VirusBlokAda）發(fā)現(xiàn)。因?yàn)閻阂獯a中包含“stux”字符，所以被命名為“震網(wǎng)病毒（Stuxnet）”。Stuxnet利用西門子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），向可編程邏輯控制器（PLC）寫入代碼并將代碼隱藏。因其代碼及其復(fù)雜攻擊手法極其隱蔽，也被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，同時(shí)它也是全球首個(gè)在工控領(lǐng)域投入實(shí)戰(zhàn)并取得勝利的網(wǎng)絡(luò)武器。

該病毒 60% 的感染發(fā)生在伊朗。2012 年 6 月 1 日，美國(guó)《紐約時(shí)報(bào)》的一篇報(bào)道也證實(shí)了這一研究結(jié)果。報(bào)道內(nèi)容大致如下：Stuxnet病毒起源于 2006 年前后，由美國(guó)總統(tǒng)小布什啟動(dòng)的“奧運(yùn)會(huì)計(jì)劃”，是美國(guó)國(guó)家安全局外交事務(wù)局（FAD）在以色列協(xié)助下研發(fā)，旨在減緩伊朗的核計(jì)劃，從而避免采取高風(fēng)險(xiǎn)的空襲。2008年，奧巴馬上任后下令加速該計(jì)劃。

據(jù)估計(jì)，“震網(wǎng)”病毒使伊朗的核計(jì)劃延遲了至少2年。事后發(fā)現(xiàn)，在 2011 年以色列國(guó)防軍第19任總參謀長(zhǎng)加比？阿什克納齊的退役晚宴中的一段視頻顯示，Stuxnet 被以色列國(guó)防軍當(dāng)作一次勝利。

2013 年 5 月，Edward Snowden 在接受采訪中透露：美國(guó)國(guó)家安全局（NSA）和以色列聯(lián)手開發(fā)了破壞伊朗鈾濃縮設(shè)備的 Stuxnet。在2009年至2010年，Stuxnet滲入伊朗核設(shè)施網(wǎng)絡(luò)，用于改變數(shù)千臺(tái)離心機(jī)發(fā)動(dòng)機(jī)的運(yùn)轉(zhuǎn)速度。這種突然的改變發(fā)動(dòng)機(jī)轉(zhuǎn)速會(huì)對(duì)離心機(jī)造成無法修復(fù)的傷害，從而達(dá)到破壞伊朗核研究的目的。

2013 年 6 月，美國(guó)司法部因 Stuxnet 泄密事件開始調(diào)查美國(guó)戰(zhàn)略司令部前負(fù)責(zé)人詹姆斯卡特賴特（James Cartwright）將軍。聯(lián)邦調(diào)查人員懷疑卡特賴特向“紐約時(shí)報(bào)”記者泄露了該行動(dòng)的細(xì)節(jié)，詹姆斯卡特賴特當(dāng)即否認(rèn)這一指控，但是，在 2016 年 10 月 17 日，卡特賴特在美國(guó)哥倫比亞特區(qū)地方法院認(rèn)罪。2017 年 1 月 17 日，巴拉克？奧巴馬（Barack Obama）總統(tǒng)赦免了他，從而使他無罪。

根據(jù)紐約時(shí)報(bào)關(guān)于 Stuxnet 的報(bào)道，結(jié)合在任時(shí)間窗口和個(gè)人背景，其推測(cè) ，Stuxnet 的實(shí)際的執(zhí)行者有可能是前 CIA 將軍邁克爾？海登（Michael Hayden）。直到今天也沒有人正式承認(rèn)或否認(rèn)這次對(duì)伊朗的網(wǎng)絡(luò)打擊這是誰干的，因?yàn)榧幢闶乾F(xiàn)在 Stuxnet 仍然具有攻擊性，甚至有可能已經(jīng)升級(jí)成為隱蔽性更好，破壞力更強(qiáng)大的更高級(jí)的病毒。

2、Duqu-Stuxnet 之子

Duqu（毒區(qū)）在 2011 年 9 月 1 日，于布達(dá)佩斯技術(shù)經(jīng)濟(jì)大學(xué)的密碼學(xué)與系統(tǒng)安全（CrySyS）實(shí)驗(yàn)室中被發(fā)現(xiàn)。由于它創(chuàng)建的臨時(shí)文件都是以 ~DQ開頭，因此被命名為 Duqu。Duqu 與 Stuxnet 有一定的相似度，它們都使用了相同的加密算法和密鑰，此外，Duqu 也盜用了一家中國(guó)***公司（驊訊電子公司）的數(shù)字證書對(duì)惡意代碼進(jìn)行簽名。

Duqu2.0 是在 2015 年卡巴斯基的一次安全檢測(cè)中被發(fā)現(xiàn)的。卡巴斯基經(jīng)過調(diào)查后發(fā)現(xiàn)，該惡意代碼已經(jīng)在其內(nèi)部網(wǎng)絡(luò)潛伏長(zhǎng)達(dá)數(shù)月，進(jìn)一步研究發(fā)現(xiàn)，入侵卡巴斯基和入侵伊朗核問題“六方會(huì)談”承辦酒店電腦的都是 Duqu2.0 。

Duqu 主要目的是刺探與伊朗核計(jì)劃有關(guān)的情報(bào)。Duqu2.0 被一些安全機(jī)構(gòu)認(rèn)定是以色列“8200部隊(duì)”的產(chǎn)物，被用來監(jiān)視伊朗核談判和經(jīng)濟(jì)制裁，因?yàn)樗腥疚挥谌鹗亢蛫W地利酒店的計(jì)算機(jī)，這些酒店就是伊核六方會(huì)談（“P5+1”組織成員國(guó)包括美國(guó)、俄羅斯、中國(guó)、英國(guó)、法國(guó)和德國(guó)）的國(guó)際談判地點(diǎn)。

Duqu 2.0除了入侵卡巴斯基和“六方會(huì)談”，還針對(duì)奧斯維辛-比克瑙集中營(yíng)解放 70 周年的紀(jì)念活動(dòng)發(fā)動(dòng)了類似攻擊，它的攻擊目標(biāo)組織還包括歐洲電信運(yùn)營(yíng)商，北非電信運(yùn)營(yíng)商和東南亞電子設(shè)備制造商等。

Duqu的攻擊目的不是以破壞為主，而是潛伏并收集被攻擊者的各種情報(bào)信息，為將來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)提供準(zhǔn)確的情報(bào)。

3、Flame

Flame（也被稱作Flamer、Da Flame、sKyWiper、Skywiper）于 2012 年 5 月 28 日被卡巴斯基披露，由卡巴斯基在國(guó)際電信聯(lián)盟（ITU）的一次調(diào)查中發(fā)現(xiàn)。Flame是一種模塊化的、可擴(kuò)展的、可更新的，具有廣泛隱蔽性和極強(qiáng)攻擊性的惡意代碼。在收到控制者發(fā)出的控制指令后，F(xiàn)lame就能夠通過USB移動(dòng)存儲(chǔ)介質(zhì)以及網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，而發(fā)出控制指令的服務(wù)器來自世界各地。它會(huì)運(yùn)用包括鍵盤、屏幕、麥克風(fēng)、移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)、WIFI、藍(lán)牙、USB和系統(tǒng)進(jìn)程在內(nèi)的所有的可能條件去收集信息。Flame還會(huì)將用戶瀏覽的網(wǎng)頁、通訊通話（Skype聊天記錄）、賬號(hào)密碼以至鍵盤輸入等記錄發(fā)送給遠(yuǎn)程操控病毒的服務(wù)器。此外，即便與服務(wù)器的聯(lián)系被切斷，攻擊者依然可通過藍(lán)牙信號(hào)對(duì)被感染計(jì)算機(jī)進(jìn)行近距離控制。功能極其豐富，覆蓋了用戶使用電腦的所有輸入輸出的接口。目前被定性為“工控病毒”。

Flame 病毒開始主要集中攻擊中東地區(qū)，包括伊朗、以色列、巴勒斯坦、敘利亞、蘇丹、黎巴嫩、沙特阿拉伯和埃及等國(guó)家。據(jù)統(tǒng)計(jì)，世界范圍內(nèi)受感染電腦數(shù)量大約在 1000 至 5000 臺(tái)之間。

2012年6月19日，華盛頓郵報(bào)發(fā)表了一篇文章，聲稱 Flame 至少在5年前，由美國(guó)國(guó)家安全局、中央情報(bào)局和以色列軍方聯(lián)合開發(fā)，該項(xiàng)目據(jù)說是代號(hào)為奧運(yùn)會(huì)的一部分，旨在緩伊朗發(fā)展核武器的進(jìn)度，為進(jìn)行網(wǎng)絡(luò)破壞活動(dòng)收集情報(bào)。

攻擊伊朗的 Flame 病毒對(duì) AutoCAD 文件、PDF 文件、TXT 文件以及 Microsoft Word 和其它 Office 格式格外關(guān)注，它還對(duì)桌面上的內(nèi)容特別感興趣，似乎在有目的的收集被感染電腦中的技術(shù)文檔和圖紙類情報(bào)。

4、Havex

Havex于 2013 年被發(fā)現(xiàn)，是一種用于攻擊特定目標(biāo)的遠(yuǎn)程控制木馬（Remote Access Trojan，RAT）。2014年初，Havex開始對(duì)工業(yè)控制系統(tǒng)發(fā)起攻擊，感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件。網(wǎng)絡(luò)安全公司CrowdStrike披露了一項(xiàng)被稱為“Energetic Bear”（該黑客組織也被稱作蜻蜓“Dragonfly”，因此Havex也被稱作Dragonfly1.0）的網(wǎng)絡(luò)間諜活動(dòng)。據(jù) CrowdStrike 稱：攻擊者試圖通過俄羅斯聯(lián)邦滲透歐洲、美國(guó)和亞洲的能源公司計(jì)算機(jī)網(wǎng)絡(luò)，在此次攻擊中所用的惡意軟件就是Havex RAT。

攻擊者通過把 ICS/SCADA 制造商的網(wǎng)站上用來供用戶下載的相關(guān)軟件感染木馬，當(dāng)用戶下載這些軟件并安裝時(shí)，實(shí)現(xiàn)對(duì)目標(biāo)用戶的感染。

Havex 可能是以竊取工控?cái)?shù)據(jù)情報(bào)為目的，因?yàn)樗?OPC 協(xié)議監(jiān)視受感染主機(jī)的數(shù)據(jù)通信。而OPC協(xié)議主要是流程工業(yè)上用的比較多，例如石油石化行業(yè)，這也是為什么說Havex是針對(duì)工控行業(yè)的原因。

5、Dragonfly2.0

“Dragonfly”是著名的俄羅斯黑客組織，該黑客組織自 2010 年開始活躍，直到 2014 年被安全公司披露后，一度停止了攻擊活動(dòng)，但是在 2017 年 9 月，它又開始頻繁活動(dòng)，因?yàn)樽钚掳l(fā)現(xiàn)的“Dragonfly”從攻擊目的和惡意代碼技術(shù)上都有所提升，所以被稱為“蜻蜓二代”或者“Dragonfly2.0”。目前的證據(jù)表明，實(shí)際上蜻蜓二代在 2015 年 12 月份就已經(jīng)有了活動(dòng)跡象。蜻蜓二代“Dragonfly2.0”和一代一樣，使用多種攻擊方式（惡意電子郵件、水坑攻擊和合法軟件捆綁）對(duì)目標(biāo)進(jìn)行滲透并植入惡意代碼。早期的Dragonfly活動(dòng)更像是處于探索性的階段，攻擊者只是試圖進(jìn)入目標(biāo)組織的網(wǎng)絡(luò)，Dragonfly 2.0的活動(dòng)則顯示了攻擊者已經(jīng)進(jìn)入了一個(gè)新的階段，最近的襲擊活動(dòng)可能為攻擊者提供了訪問操作系統(tǒng)的機(jī)會(huì)，將來可能被用于更具破壞性的攻擊。

“Dragonfly”是一個(gè)專門以能源電力機(jī)構(gòu)、ICS設(shè)備制造廠商、石油管道運(yùn)營(yíng)商等為攻擊目標(biāo)的黑客組織，早期攻擊的目標(biāo)為美國(guó)和加拿大的防務(wù)和航空公司、美國(guó)和歐洲的能源公司、大多數(shù)受害者分布在美國(guó)、西班牙、法國(guó)、意大利、德國(guó)、土耳其和波蘭，而“Dragonfly2.0”則重點(diǎn)攻擊美國(guó)和土耳其。

6、BlackEnergy

BlackEnergy 是著名的黑客 Cr4sh 創(chuàng)造的。在 2007 年，他聲稱不再開發(fā)這款木馬，并且以$ 700 左右賣出源代碼（流通在俄羅斯的地下網(wǎng)絡(luò)）。最初，它被設(shè)計(jì)為一個(gè) DDos 攻擊工具，主要用于建立僵尸網(wǎng)絡(luò)，對(duì)定向的目標(biāo)實(shí)施 DDos 攻擊，源碼賣出后，新的開發(fā)者為其開發(fā)了各種功能的插件，以滿足各種攻擊需求。BlackEnergy 被不同黑客用于各自的用途，有的黑客用它發(fā)送垃圾郵件，有的黑客用來盜取銀行憑證，但是，在 2008 年“俄格沖突”期間，該工具被用來對(duì)格魯吉亞實(shí)施網(wǎng)絡(luò)攻擊，自此 BlackEnergy開始轉(zhuǎn)向攻擊政治目標(biāo)。在 2014 年夏季， BlackEnergy 頻繁對(duì)烏克蘭政府及企事業(yè)單位發(fā)起攻擊，通過分析發(fā)現(xiàn)它有一款支持對(duì) ICS 監(jiān)測(cè)控制和數(shù)據(jù)采集類的插件。這顯示出 BlackEnergy 還存在的一些特別的能力，不僅僅局限于 DDOS 攻擊。

其攻擊目標(biāo)為烏克蘭的ICS，能源，政府和媒體以及全球的ICS/SCADA公司和能源公司。

2015 年 11 月 22 日凌晨，克里米亞遭烏克蘭斷電，近 200 萬人受影響。2015 年 12 月 23 日，烏克蘭電力網(wǎng)絡(luò)受到黑客攻擊，導(dǎo)致伊萬諾-弗蘭科夫斯克州 22.5 萬民眾失去電力供應(yīng)長(zhǎng)達(dá) 6 小時(shí)。

7、Industroyer

2017 年 6 月 12 日，一款針對(duì)電力變電站系統(tǒng)進(jìn)行惡意攻擊的工控網(wǎng)絡(luò)攻擊武器 Industroyer 被ESET披露。通過分析，我們發(fā)現(xiàn)該攻擊武器可以直接控制斷路器，可導(dǎo)致變電站斷電。 Industroyer 惡意軟件目前支持四種工控協(xié)議：IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access（簡(jiǎn)稱OPC DA）。這些協(xié)議廣泛應(yīng)用在電力調(diào)度、發(fā)電控制系統(tǒng)以及需要對(duì)電力進(jìn)行控制行業(yè)，例如軌道交通、石油石化等重要基礎(chǔ)設(shè)施行業(yè)，尤其是 OPC 協(xié)議作為工控系統(tǒng)互通的通用接口更廣泛應(yīng)用在各工控行業(yè)?？梢钥闯?，攻擊者對(duì)于工控系統(tǒng)尤其是電力系統(tǒng)相關(guān)的工控協(xié)議有著深厚的知識(shí)背景，并且具有目標(biāo)工控環(huán)境下的各種工控設(shè)備，攻擊者需要這些設(shè)備來實(shí)現(xiàn)惡意代碼的編寫和測(cè)試工作。

與 2015 年襲擊烏克蘭電網(wǎng)最終導(dǎo)致2015年12月23日斷電的攻擊者使用的工具集（BlackEnergy、KillDisk、以及其他攻擊模塊）相比，這款惡意軟件的功能意義重大，它可以直接控制開關(guān)和斷路器，Industroyer 身后的黑客團(tuán)隊(duì)無論從技術(shù)角度還是從對(duì)目標(biāo)工控系統(tǒng)的研究深度都遠(yuǎn)遠(yuǎn)超過了2015年12月烏克蘭電網(wǎng)攻擊背后的黑客團(tuán)隊(duì)。

通過對(duì)該批惡意軟件的編譯時(shí)間推測(cè)該惡意軟件曾被利用來攻擊烏克蘭的變電站導(dǎo)致2016年12月那次半個(gè)小時(shí)的烏克蘭停電事件。目前可以說 Industroyer 惡意軟件是繼 STUXNET、BLACKENERGY 2以及 HAVEX 之后第四款對(duì)針對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊的工控武器。

其攻擊目標(biāo)為烏克蘭的ICS，能源，政府和媒體以及全球的 ICS/SCAD A公司和能源公司。

據(jù)推測(cè)，2016 年 12 月那次半個(gè)小時(shí)的烏克蘭停電事件是由 Industroyer 攻擊導(dǎo)致。

8、GreyEnergy

2018 年 10 月 18 日，ESET 研究團(tuán)隊(duì)稱發(fā)現(xiàn)一個(gè)新的 APT 組織 GreyEnergy，且該 APT 組織是 BlackEnergy 的繼承者，因 BlackEnergy 在 2015 年引發(fā)烏克蘭大停電而名聲大噪，此后便銷聲匿跡，而GreyEnergy的活動(dòng)記錄也同時(shí)出現(xiàn)，另外，2015年同期還出現(xiàn)了另一個(gè)組織TeleBots（可能是2017年策劃大規(guī)模NotPetya病毒的爆發(fā)的幕后黑手）。除了兩者幾乎同時(shí)出現(xiàn)之外， GreyEnergy在2016年使用的一種破壞性惡意軟件Moonraker Petya。顧名思義，它與NotPetya類似，雖然不太先進(jìn)，但是這表明GreyEnergy和TeleBots之間的合作，或者至少是思想和代碼的交流。

ESET研究團(tuán)隊(duì)認(rèn)為BlackEnergy演變?yōu)閮蓚€(gè)獨(dú)立的組織：TeleBots 和 GreyEnergy。

GreyEnergy 主要針對(duì)烏克蘭和波蘭的能源部門、交通部門等高價(jià)值目標(biāo)，攻擊行為主要是網(wǎng)絡(luò)偵查（即間諜行為）。GreyEnergy 與 BlackEnergy 具有很多相似之處，它也是采用模塊化結(jié)構(gòu)，目前已經(jīng)發(fā)現(xiàn)的模塊有：注入模塊、獲取系統(tǒng)信息模塊、文件管理模塊、屏幕截圖模塊、鍵盤記錄模塊、密碼和憑證竊取模塊、代理模塊、ssh隧道模塊等，但是至今仍未發(fā)現(xiàn)專門針對(duì) ICS 的惡意軟件模塊。

據(jù)目前所獲情報(bào)，此次攻擊主要對(duì)烏克蘭和波蘭的能源部門及交通部門進(jìn)行滲透攻擊，以期獲取相關(guān)數(shù)據(jù)和情報(bào)。

可能導(dǎo)致烏克蘭和波蘭的能源相關(guān)重要部門的信息泄露，內(nèi)部敏感信息、相關(guān)技術(shù)資料內(nèi)部網(wǎng)絡(luò)架構(gòu)等重要信息被竊取。

9、VPNFilter

VPNFilter 惡意代碼是由思科 Talos 團(tuán)隊(duì)首次公開，因其危害極其嚴(yán)重，Talos并未完成全部分析。VPNFilter惡意代碼旨在入侵物聯(lián)網(wǎng)設(shè)備（路由器、網(wǎng)絡(luò)存儲(chǔ)設(shè)備等）從事可能由國(guó)家發(fā)起的全球性的高級(jí)惡意軟件攻擊。截止 2018 年 5 月 23 日，至少有 54 個(gè)國(guó)家遭入侵，已感染約 50 萬臺(tái)路由器。由于其核心模塊文件為 VPNFilter，故該惡意代碼也被命名為“VPNFilter”。FBI稱此次攻擊與俄羅斯政府支持的黑客組織Fancy Bear有關(guān)。Fancy Bear又稱作奇幻熊、APT28、Sofacy Group、Pawn Storm、Sednit。

自 2007 年以來，F(xiàn)ancy Bear一直在進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，入侵過北約、奧巴馬白宮、法國(guó)電視臺(tái)、世界反興奮劑機(jī)構(gòu)和無數(shù)非政府組織以及歐洲、中亞和高加索地區(qū)的軍事和民間機(jī)構(gòu)，是一個(gè)臭名昭著的黑客組織。

在 2018 年 5 月 8 日出現(xiàn)大規(guī)模的以烏克蘭為主要目標(biāo)的攻擊活動(dòng)，并且在 5 月 17 日烏克蘭的受感染設(shè)備出現(xiàn)大幅度增加，這些受感染設(shè)備均受控于C&C 46.151.209.33， 看起來此次攻擊目標(biāo)似乎瞄準(zhǔn)烏克蘭。

烏克蘭電力系統(tǒng)曾經(jīng)受到過兩次黑客攻擊，并且導(dǎo)致了停電事故。

10、Triton

2017 年 11 月中旬，Dragos Inc.團(tuán)隊(duì)發(fā)現(xiàn)了針對(duì) ICS 量身定做的惡意軟件，并將此惡意軟件命名為TRISIS（又被稱為 Triton 和 HatMan），同年 12 月， FireEye 發(fā)布了 Triton 的分析報(bào)告。Triton 是首款針對(duì)安全儀表系統(tǒng)進(jìn)行攻擊的惡意軟件，Triton 惡意軟件旨在針對(duì)施耐德電氣的工業(yè)環(huán)境中使用的 Triconex安全儀表系統(tǒng)（SIS）控制器，共采用 5 種不同開發(fā)語言構(gòu)建，僅能在其瞄準(zhǔn)的工業(yè)設(shè)備上執(zhí)行。TRIRON惡意代碼可對(duì) SIS 系統(tǒng)邏輯進(jìn)行重編輯，使 SIS 系統(tǒng)產(chǎn)生意外動(dòng)作，對(duì)正常生產(chǎn)活動(dòng)造成影響；能使SIS系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險(xiǎn)時(shí)無法及時(shí)實(shí)行和啟動(dòng)安全保護(hù)機(jī)制，從而對(duì)生產(chǎn)活動(dòng)造成影響；還可以對(duì)DCS系統(tǒng)實(shí)施攻擊，并通過SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用，對(duì)工業(yè)設(shè)備、生產(chǎn)活動(dòng)以及人員健康造成破壞。

2018 年 5 月 4 日，Dragos 公司稱 Triton 背后的黑客組織 Xenotime 已經(jīng)擴(kuò)大了攻擊范圍，除了攻擊施耐德電氣的 Triconex 以外還針對(duì)其它的系統(tǒng)。

Xenotime 黑客組織可能自 2014 年開始活躍，于 2017 年成功攻擊中東一家石油天然氣工廠，致其工廠停運(yùn)。工業(yè)網(wǎng)絡(luò)安全和威脅情報(bào)公司 CyberX 的研究人員曾認(rèn)為，Triton的幕后黑手是伊朗，但Dragos并未提供任何有能夠證明此猜測(cè)的證據(jù)信息。Dragos 公司指出，尚未發(fā)現(xiàn) Xenotime 與其它已知黑客組織存在關(guān)聯(lián)的線索。

2018 年 10 月 23 日，F(xiàn)ireEye 稱他們發(fā)現(xiàn)了 Triton 惡意軟件與位于莫斯科的俄羅斯政府研究機(jī)構(gòu)中央化學(xué)與機(jī)械科學(xué)研究所（CNIIHM）之間的聯(lián)系：樣本中語言西里爾文和時(shí)區(qū)與俄羅斯相關(guān)；通過分析測(cè)試文件PDB路徑的字符串，發(fā)現(xiàn)一段特殊字符串可能是俄羅斯信息安全社區(qū)活躍用戶（從2011年開始活躍）的昵稱，結(jié)合被廢棄的社交媒體資料，推測(cè)出這個(gè)人是CNIIHM的教授，該教授位于莫斯科 Nagatino-Sadovniki 區(qū)的 Nagatinskaya 街附近；該研究所注冊(cè)的一個(gè)IP地址（87.245.143.140）參與了Triton攻擊。此外，值得一提的是CNIIHM具備開發(fā)Triton惡意軟件的能力，它擁有專門研究關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和武器及軍事裝備開發(fā)的研究部門，并與廣泛的其他組織合作，包括計(jì)算機(jī)科學(xué)，電氣工程，國(guó)防系統(tǒng)和信息技術(shù)。

它的攻擊至少針對(duì)一個(gè)中東地區(qū)的組織。其他使用施耐德電氣的Triconex安全儀表系統(tǒng)（SIS）控制器的能源單位也面臨被攻擊的風(fēng)險(xiǎn)，據(jù)不完全統(tǒng)計(jì)，該型號(hào)的控制器被全球 1.8 萬家工廠使用，其中包含核相關(guān)設(shè)施。

2017年其成功攻擊中東一家石油天然氣工廠，導(dǎo)致這家工廠停止運(yùn)營(yíng)。