美国国土安全部研究人员于近期在调查时发现另一新型恶意软件HatMan，旨在针对国家工业控制系统展开攻击活动。随后，国家网络安全与通信集成中心在本周一发布的恶意软件分析报告中提供了缓解措施与 YARA 规则，以便减少国家工控系统的损失。

调查显示，基于 Python 编写的 HatMan 恶意软件主要以施耐德电气的 Triconex 安全仪表系统（SIS）控制器为目标，旨在监控流程并将其恢复到安全状态或在发现潜在危险情况时执行安全关闭。此外，HatMan 还通过专有的 TriStation 协议与 SIS 控制器进行通信，并允许攻击者通过添加新的梯形图逻辑操纵设备。然而，由于黑客在触发 SIS 控制器启动 “安全关闭” 功能后终止了操作，因此FireEye 专家推测攻击者可能是在侦查阶段无意触发了控制器，其最终目标可能只是针对 SIS 造成高强度的物理伤害感兴趣。

施耐德电气的 Triconex 安全检测系统（SIS）控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全连锁和保护、工艺监视，并在必要时安全停车。

值得注意的是，NCCIC 在其报告中指出，该恶意软件主要有两部分组件：一部分是在受损的 PC 端运行后与安全控制器交互，另一块是在控制器上直接运行。研究人员表示，虽然 HatMan 本身并没有做任何危险动作，且被降级的基础设施安全系统也不会直接操作整个控制流程，但倘若存在漏洞的安全系统遭到恶意软件感染则可能会造成极大危害。另外，可以肯定的是，虽然 HatMan 今后可能会成为监控 ICS 的重要工具，但它或许只会被用来影响工业生产流程或者其他危险操作。总而言之，恶意软件中不同组件的构建意味着攻击者需要对 ICS 环境（特别是对 Triconex 控制器）极其熟悉，以及它需要较长的开发周期来完善这类高级攻击手法。

施耐德电气已对此事件展开调查。官方表示目前没有证据表明该恶意软件利用了产品中的任何漏洞。但安全专家还是建议客户切勿轻易将设备置于 “Program” 模式，因为当控制器设置为此“Program” 模式时攻击者就可能通过恶意软件传送 payload。

国家安全局局长 Emily S. Miller 表示：“ 攻击者有能力访问关键基础设施的安全仪器设备，并极有可能针对设备固件进行潜在更改，因此这一提醒给予关键基础设施的所有者与经营者莫大的警示。”