"最强"工控恶意软件Trisis的幕后黑手已扩大攻击目标

2018 年 5 月 28 日 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全5月28日讯 工业网络安全公司 Dragos 2018年5月24日披露,"最强"工控恶意软件 Trisis(又被称为 Triton 和 HatMan)背后的黑客组织 Xenotime 初露行动轨迹,目前已扩大攻击目标范围。

Trisis 与黑客组织 Xenotime

Trisis 是首款专门针对安全仪表系统的恶意软件,也首款能远程让民用基础设施进入不安全状态的恶意软件,其工作方式与 Stuxnet 类似,均有能力操纵旋转组件的转速,可能引起工厂关闭或者使人受伤。

Trisis 的厉害之处在于其完整的文件库通过五种不同的编程语言构建,仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士预测,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件,其甚至难倒了美国国家安全局(NSA)的分析师。足以显示出黑客组织 Xenotime 的潜在危险性。

曾攻击安全仪表系统(SIS)

Xenotime 黑客组织可能自2014年开始活跃,2017年12月,该黑客组织利用施耐德 Triconex 安全仪表控制系统(SIS,Safety Instrumented System)零日漏洞,攻击中东一家石油天然气工厂,致其工厂停运。

安全仪表系统(SIS)作为硬件和软件控制系统,其主要作用是保护核、油气或制造等工厂的工业进程和设备。SIS 是工厂企业自动控制中的重要组成部分。目前全球有为数不多的几家公司在开发并管理 SIS 系统,包括但不限于艾默生(Emerson)、霍尼韦尔(Honeywell)和日本的横河电机(Yokogawa)。

Xenotime 瞄准全球更多安全系统

工业网络安全公司 Dragos 经过分析后发现,黑客组织 Xenotime 已将目标瞄向全球的组织机构,该公司未透露该组织近期的攻击活动细节,但指出该黑客组织活跃在多个设施中,除了施耐德电气的 Triconex 以外还针对其它的安全系统。

据一名前美国官员透露,美国的工业公司已遭遇该组织发起的攻击,但并未透露最近受影响的系统或工业公司。目前尚不清楚黑客组织 Xenotime 如何成功开发并维护了如此复杂的恶意软件。

Dragos 公司有一定的把握认为,Xenotime 打算建立必要的访问和能力,以在未来引发潜在破坏性、甚至是毁灭性事件。

在沙特阿拉伯油气工厂遭遇的攻击事件中,该组织创建了一个自定义恶意软件框架和定制的凭证收集工具,但错误配置问题触发了安全系统。逐渐成熟的 Xenotime 组织未来犯这样低级错误的可能性将大幅降低。

已具备黑进安全仪表系统的能力

Dragos 公司威胁情报与分析总监塞尔吉奥·卡尔塔吉拉诺表示,最近几起事件说明,Xenotime 组织已能成功攻击企业的 IT 系统并进入安全仪表系统,Xenotime 正在使用网络钓鱼邮件和所谓的“水坑”网站攻击工业公司的工程师,旨在吸引工程师的注意力,以入侵他们的账号并窃取管理凭证。之后,Xenotime 通常会潜伏数周或数月,横向移动寻找 IT 和 OT 网络之间的缺陷。

Xenotime身份猜测

工业网络安全和威胁情报公司 CyberX 的研究人员曾认为,Trisis 的幕后黑手是伊朗,但 Dragos 尚未提供任何有关归因的信息。Dragos 公司指出,尚未发现 Xenotime 与其它已知黑客组织存在关联的线索。

Dragos 一直在追踪几个针对工控系统的威胁攻击组织。该公司目前已发布报告分析几个此类黑客组织的行径,包括与俄罗斯有关的Allanite(针对美国和英国的电力公司),以及与伊朗有关的 Chrysene(攻击中东和英国的工控系统网络)。

其他工控恶意软件

与国家有关联的黑客组织过去曾尝试使用各类针对ICS的恶意软件。包括 Stuxnet、Havex、Blackenergy2、Crashoverride:

  • Havex 也曾被用来入侵 ICS 制造商的网站,在合法软件下载中布下陷阱;

  • 2015年12月,Blackenergy2被用来攻击乌克兰电网;

  • 2016年12月,Crashoverride被用来攻击乌克兰多个发电厂。

Trisis 是一个多阶段恶意软件框架,被认为是第5个专门针对 ICS 恶意软件变种,其它此类恶意软件包括 CrashOverride(2016年攻击乌克兰变电站)和最臭名昭著的震网病毒 Stuxnet(2010年破坏伊朗核电站)。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/838966371.shtml

推荐阅读:

点击阅读原文” 查看更多精彩内容

登录查看更多
0

相关内容

AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
基于深度学习的表面缺陷检测方法综述
专知会员服务
93+阅读 · 2020年5月31日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
【专题】Facebook遭德国反垄断调查及其影响分析
蚂蚁金服评论
17+阅读 · 2019年4月1日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
自动泊车系统发展现状及前景分析 | 厚势
厚势
22+阅读 · 2018年1月22日
【工业大数据】一文带你读懂《工业大数据白皮书》
产业智能官
14+阅读 · 2018年1月20日
威胁情报浅析
计算机与网络安全
7+阅读 · 2017年11月15日
Arxiv
7+阅读 · 2018年3月19日
Arxiv
25+阅读 · 2018年1月24日
VIP会员
相关VIP内容
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
基于深度学习的表面缺陷检测方法综述
专知会员服务
93+阅读 · 2020年5月31日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
相关资讯
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
【专题】Facebook遭德国反垄断调查及其影响分析
蚂蚁金服评论
17+阅读 · 2019年4月1日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
自动泊车系统发展现状及前景分析 | 厚势
厚势
22+阅读 · 2018年1月22日
【工业大数据】一文带你读懂《工业大数据白皮书》
产业智能官
14+阅读 · 2018年1月20日
威胁情报浅析
计算机与网络安全
7+阅读 · 2017年11月15日
Top
微信扫码咨询专知VIP会员