5月28日訊 工業(yè)網(wǎng)絡(luò)安全公司 Dragos 2018年5月24日披露,"最強(qiáng)"工控惡意軟件 Trisis(又被稱為 Triton 和 HatMan)背后的黑客組織 Xenotime 初露行動(dòng)軌跡,目前已擴(kuò)大攻擊目標(biāo)范圍。
Trisis 與黑客組織 Xenotime
Trisis 是首款專門針對(duì)安全儀表系統(tǒng)的惡意軟件,也首款能遠(yuǎn)程讓民用基礎(chǔ)設(shè)施進(jìn)入不安全狀態(tài)的惡意軟件,其工作方式與 Stuxnet 類似,均有能力操縱旋轉(zhuǎn)組件的轉(zhuǎn)速,可能引起工廠關(guān)閉或者使人受傷。
Trisis 的厲害之處在于其完整的文件庫通過五種不同的編程語言構(gòu)建,僅能在其瞄準(zhǔn)的同款工業(yè)設(shè)備上測試才能完全了解這款惡意軟件。消息人士預(yù)測,一支專業(yè)的惡意軟件開發(fā)團(tuán)隊(duì)也需要花上一年時(shí)間才能開發(fā)出與 Trisis 相匹敵的惡意軟件,其甚至難倒了美國國家安全局(NSA)的分析師。足以顯示出黑客組織 Xenotime 的潛在危險(xiǎn)性。
曾攻擊安全儀表系統(tǒng)(SIS)
Xenotime 黑客組織可能自2014年開始活躍,2017年12月,該黑客組織利用施耐德 Triconex安全儀表控制系統(tǒng)(SIS,Safety Instrumented System)零日漏洞,攻擊中東一家石油天然氣工廠,致其工廠停運(yùn)。
安全儀表系統(tǒng)(SIS)作為硬件和軟件控制系統(tǒng),其主要作用是保護(hù)核、油氣或制造等工廠的工業(yè)進(jìn)程和設(shè)備。SIS 是工廠企業(yè)自動(dòng)控制中的重要組成部分。目前全球有為數(shù)不多的幾家公司在開發(fā)并管理 SIS 系統(tǒng),包括但不限于艾默生(Emerson)、霍尼韋爾(Honeywell)和日本的橫河電機(jī)(Yokogawa)。
Xenotime 瞄準(zhǔn)全球更多安全系統(tǒng)
工業(yè)網(wǎng)絡(luò)安全公司 Dragos 經(jīng)過分析后發(fā)現(xiàn),黑客組織 Xenotime 已將目標(biāo)瞄向全球的組織機(jī)構(gòu),該公司未透露該組織近期的攻擊活動(dòng)細(xì)節(jié),但指出該黑客組織活躍在多個(gè)設(shè)施中,除了施耐德電氣的 Triconex 以外還針對(duì)其它的安全系統(tǒng)。
據(jù)一名前美國官員透露,美國的工業(yè)公司已遭遇該組織發(fā)起的攻擊,但并未透露最近受影響的系統(tǒng)或工業(yè)公司。目前尚不清楚黑客組織 Xenotime 如何成功開發(fā)并維護(hù)了如此復(fù)雜的惡意軟件。
Dragos 公司有一定的把握認(rèn)為,Xenotime 打算建立必要的訪問和能力,以在未來引發(fā)潛在破壞性、甚至是毀滅性事件。
在沙特阿拉伯油氣工廠遭遇的攻擊事件中,該組織創(chuàng)建了一個(gè)自定義惡意軟件框架和定制的憑證收集工具,但錯(cuò)誤配置問題觸發(fā)了安全系統(tǒng)。逐漸成熟的 Xenotime 組織未來犯這樣低級(jí)錯(cuò)誤的可能性將大幅降低。
已具備黑進(jìn)安全儀表系統(tǒng)的能力
Dragos 公司威脅情報(bào)與分析總監(jiān)塞爾吉奧·卡爾塔吉拉諾表示,最近幾起事件說明,Xenotime 組織已能成功攻擊企業(yè)的 IT 系統(tǒng)并進(jìn)入安全儀表系統(tǒng),Xenotime 正在使用網(wǎng)絡(luò)釣魚郵件和所謂的“水坑”網(wǎng)站攻擊工業(yè)公司的工程師,旨在吸引工程師的注意力,以入侵他們的賬號(hào)并竊取管理憑證。之后,Xenotime 通常會(huì)潛伏數(shù)周或數(shù)月,橫向移動(dòng)尋找 IT 和 OT 網(wǎng)絡(luò)之間的缺陷。
Xenotime身份猜測
工業(yè)網(wǎng)絡(luò)安全和威脅情報(bào)公司 CyberX 的研究人員曾認(rèn)為,Trisis 的幕后黑手是伊朗,但 Dragos 尚未提供任何有關(guān)歸因的信息。Dragos 公司指出,尚未發(fā)現(xiàn) Xenotime 與其它已知黑客組織存在關(guān)聯(lián)的線索。
Dragos 一直在追蹤幾個(gè)針對(duì)工控系統(tǒng)的威脅攻擊組織。該公司目前已發(fā)布報(bào)告分析幾個(gè)此類黑客組織的行徑,包括與俄羅斯有關(guān)的Allanite(針對(duì)美國和英國的電力公司),以及與伊朗有關(guān)的 Chrysene(攻擊中東和英國的工控系統(tǒng)網(wǎng)絡(luò))。
其他工控惡意軟件
與國家有關(guān)聯(lián)的黑客組織過去曾嘗試使用各類針對(duì)ICS的惡意軟件。包括 Stuxnet、Havex、Blackenergy2、Crashoverride:
Havex 也曾被用來入侵 ICS 制造商的網(wǎng)站,在合法軟件下載中布下陷阱;
2015年12月,Blackenergy2被用來攻擊烏克蘭電網(wǎng);
2016年12月,Crashoverride被用來攻擊烏克蘭多個(gè)發(fā)電廠。
Trisis 是一個(gè)多階段惡意軟件框架,被認(rèn)為是第5個(gè)專門針對(duì) ICS 惡意軟件變種,其它此類惡意軟件包括 CrashOverride(2016年攻擊烏克蘭變電站)和最臭名昭著的震網(wǎng)病毒 Stuxnet(2010年破壞伊朗核電站)。
-
工業(yè)網(wǎng)絡(luò)
+關(guān)注
關(guān)注
0文章
90瀏覽量
16366 -
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21863
原文標(biāo)題:"最強(qiáng)"工控惡意軟件Trisis的幕后黑手已擴(kuò)大攻擊目標(biāo)
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論