伊朗黑客被指利用 TRITON 攻击沙特阿拉伯关键基础设施
翻译:360代码卫士团队
网络安全和威胁情报公司 CyberX 指出,最近发现的恶意软件 “Triton” 和 “Trisis” 可能是由伊朗黑客开发的,且专门用于攻击沙特阿拉伯的一家组织机构。
上周四,火眼公司和Dragos在报告中表示,发现了专门针对工控系统的恶意软件导致中东的一家组织机构的关键基础设施关闭。
CyberX 公司也获得了这款恶意软件的样本,研究人员调查后认为 Triton/Trisis 可能是由伊朗创建的,而受害者可能位于沙特阿拉伯。
CyberX公司表示,人们认为伊朗在2012年和2017年通过 Shamoon 攻击沙特阿拉伯的IT网络,摧毁了普通的个人计算机。这次攻击可能是对之前攻击的升级,因为攻击目标转变为关键基础设施,不过它也是一个有逻辑的步骤。震网病毒和最近发现的Industroyer 恶意软件表明,现代工业恶意软件可被用于改编并操纵关键设备如工业控制器,而Triton似乎只是对这些方法的发展。
火眼公司和Dragos并未对CyberX认为Triton由伊朗开发的结论置评。火眼公司在报告中指出,这些攻击方法跟之前以下国家使用的攻击手法一致:俄罗斯、伊朗、美国、朝鲜和以色列国家黑客。
Triton 旨在攻击施耐德电气的Triconex安全仪表盘系统控制器,后者旨在监控某个进程状态并将其恢复为安全状态,或者如果参数表明状况危险则会将其安全关闭。
Triton 利用的是TriStation专有协议来跟安全仪表盘系统通信,而且它能增加新的梯形逻辑,让攻击者操纵设备。
火眼公司和Dragos公司分析攻击后发现,安全仪表盘系统控制器触发进程关闭后导致攻击活动遭暴露。然而,专家认为这次关闭可能是一次事故。一种可能的场景就是,攻击者正在执行侦察以便后续发动攻击时不小心触发事故。
施耐德电气公司已发布安全公告,通知消费者相关攻击情况并建议他们如何阻止潜在攻击。该公司指出,目前尚未有证据表明恶意软件利用了Triconex产品中的任意漏洞,不过该公司还在判断是否存在其它攻击向量。
CyberX公司表示,施耐德电气公司认为并未利用Tritex产品中漏洞的说法有点喜剧意味。OT环境“在设计上就易受攻击”,因为它缺少IT网络中我们认为理所当然的控制措施如强验证措施。因此攻击者一旦进入OT网络之后就能够连接到任意控制设备,随后通过恶意梯形逻辑进行改编,从而造成不安全条件。从火眼公司发布的报告来看,这正是 TRITON 攻击者所做的事情,跟Industroyer 更改 ABB 配置文件攻击乌克兰电力网中所做的一模一样。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/iran-used-triton-malware-target-saudi-arabia-researchers