Trion 幕后黑手瞄准美国和亚太地区的电力设施
编译:奇安信代码卫士团队
2017年 Trisis/Triton 恶意软件攻击的幕后威胁者 Xenotime 目前除了攻击石油和天然气组织机构以外,还在攻击位于美国和亚太地区的电力设施。
Xenotime 至少活跃于2014年,但直到2017年攻击沙特阿拉伯的一家石油和和天然气工厂之时才为人所知。该组织使用名为 Trisis、Triton 或 HatMan 的恶意软件利用一个0day 漏洞攻击施耐德电气公司的安全联锁系统(SIS)。该攻击是在 SIS 触发某些工业系统关闭之后被发现的,专家认为这是黑客不慎造成的后果。
Xenotime 最初仅攻击位于中东地区的石油和天然气行业,不过2018年5月,Dragos 机构指出,黑客开始攻击全球范围内的组织机构以及除了 Triconex 以外的安全系统。
Dragos 在上周五发布的一份文章中指出,该威胁组织被指通过类似于攻击石油和天然气行业所使用的技术攻击位于美国和亚太地区的电力设施。所幸,Dragos 表示,这些攻击无一导致目标组织机构遭入侵。
Dragos 写到,“这种行为表明活动组织正在准备发动下一次网络攻击活动,或者至少是在为攻击 ICS 系统做准备。这些攻击活动和第一阶段的 ICS Cyber Kill Chain(网络杀死链)侦察和初始访问操作一致,包括所观测到的通过凭证
开展的认证尝试和可能的凭证‘填充’,或者使用被盗用户名和密码尝试并强制进入目标账户。”
虽然 Xenotime 似乎仅在2017年的攻击活动中使用了 Triton 恶意软件,但 Dragos 警告称该组织能够对电力设施带来严重威胁,因为电力设施依靠的也是通过类似技术能够攻击的安全系统。
Dragos 表示,“XENOTIME 表现了对电力设施的持续且直接的兴趣,攻击者攻陷进程安全及完整性以实现其任务的意愿引发人们的担忧。”
火眼公司认为 Triton 恶意软件的幕后黑手出自受俄罗斯政府支持的技术研究即中央化学与力学研究所 (CNIIHM)之手。
火眼公司在4月份新加坡举办的 SecurityWeek ICS 网络安全会议上披露称,将 Triton和 CNIIHM关联的消息公开后,某些数字证据已被删除。
原文链接
https://www.securityweek.com/hackers-behind-triton-malware-target-electric-utilities-us-apac
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。