查看原文
其他

火眼称工控恶意软件 TRITON 和俄罗斯研究机构有关

Sean Lyngaas 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

本周二,火眼公司表示,位于俄罗斯莫斯科的研究机构中央化学和力学科学研究所 (CNIIHM) 很可能帮助臭名昭著的黑客组织 Xenotime (或称 TEMP.Veles)构建了工具,导致沙特阿拉伯的一家石油化工厂被迫关闭。

火眼公司指出,一系列证据表明 CNIIHM 参与开发了 Xenotime 所使用的工具。该组织因使用 Triton 或 Trisis破坏工控系统软件从而导致工厂安全关闭而为人所知。

火眼公司认为 TEMP.Veles 所使用的恶意软件测试和 CNIIHM 存在关联,尤其是被指为在该研究所工作的一名教授。另外,CNIIHM 注册的一个 IP 地址也被指被 Triton 操作人员用于实现多种目的,“包括监控 Triton 的开源覆盖范围、实施网络侦察、以及实施恶意活动以支持 Triton 入侵活动”。

虽然火眼公司并未指明去年攻击活动的目标,但 CyberScoop 以及其它媒体表示遭攻击目标是位于沙特阿拉伯的一家石油化工厂。由于工控网络攻击可能造成潜在的实际后果,Triton 恶意软件将目光投向工控系统。5月份,CyberScoop 报道称,Triton 幕后黑手将攻击范围扩展至中东以外的地方,比如美国企业。

CNIIHM 未就此事置评。

火眼公司威胁情报主管 John Hultquist 表示,由于恶意软件测试环境的安全防御措施不足,他们设法收集了多种证据。他表示,在恶意软件被完全改良好之前,TEMP.Veles 往返于测试环境和目标之间。

Hultquist 表示恶意黑客攻击工控系统相关系统的意愿在不断增强。他指出,我们还没发现完全偶然的事件出于故意攻击的情况。

火眼公司表示,攻击的发生时间和莫斯科的时区相吻合。

上周,ESET 公司发布研究成果指出,在2015年和2016年攻击乌克兰电力网的黑客已进化,而且继续攻击东欧地区的能源企业。西方政府将该组织命名为 Sandworm,被指在俄罗斯军事情报局的指示下,于2015年攻击乌克兰电力网。

俄罗斯否认参与此类攻击基础设施的网络攻击活动。


推荐阅读

利用合法代码开发的工控恶意软件 Triton

Triton 恶意软件利用施耐德设备中的 0day 漏洞发动攻击


原文链接

https://www.cyberscoop.com/trisis-russia-fireeye/



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存