研究人员警告,Triton工业恶意软件集团仍然活跃
研究人员警告,在另一个关键基础设施设施中检测到靶向工业控制系统(IC)的TRITON恶意软件系列后面的网络攻击组,并可能存在于其他临界基础设施。
纽约时报的纽约时报,Triton Malware在沙特阿拉伯袭击沙特阿拉伯的一家石油化工厂,导致伊朗可能落后于袭击事件的初步猜测。
但是,安全公司Fireeye的研究人员随后与俄罗斯联系起来,现在报告他们已经发现并响应了Triton组在不同但未命名的关键基础设施的侵扰。
除了氚核集团的“入侵活动”之外,研究人员表示,他们已经发现了在受损设施的“新自定义工具集”的证据。
研究人员已发布妥协,TTPS [工具,技术和程序]指标,并在博客文章中检测,敦促工业控制系统(ICS)资产所有者使用这些,以改善其在其网络中的相关活动并寻找相关活动。
研究人员表示,TRITON组使用数十种习惯和商品入侵工具来获得并维持目标的IT(信息技术)和OT(操作技术)网络的访问权限,包括凭据收集的工具,远程命令执行,创建后门和生成命令和控制域。
他们说,Triton的自定义工具经常反映了商品工具的功能,并似乎是通过专注于防病毒逃避的开发。在某些情况下,TRITON使用具有相同功能的定制和商品工具,例如凭据收获。
研究人员表示,ICS攻击通常是衡量的,因为攻击者需要时间了解目标的工业流程并构建自定义工具。
“这种攻击也不例外。在获得对安全仪表系统(SIS)工程工作站的访问之前,演员在目标网络中存在近一年。在此期间,他们似乎优先考虑运营安全性,“研究人员说。
在这种最新的入侵中,他们表示,在企业网络上建立初始立足之后,Triton专注于大部分努力获得对OT网络进行侦察目的的访问,并使用多种技术来隐藏其活动,涵盖他们的曲目和阻止法取消检查他们的工具和活动。
虽然Triton在分布式控制系统(DCS)上获得了立足点,但他们没有使用该访问来了解工厂操作,exfiltrate敏感信息,用DCS控制器篡改,或操纵该过程。
“然后他们获得了对SIS工程工作站的访问。从这一点前,他们专注于他们的大部分努力,使用Triton攻击框架来提供和改进后门有效载荷,“研究人员说。
基于对演员的定制入侵工具的分析,研究人员认为Triton集团从2014年开始运营。
事实上,这些工具中的一些之前没有遇到过,尽管有几岁,但该组织已经表现出对业务安全的强烈兴趣,导致研究人员得出结论,可能还有其他,仍然是未被发现的损害的工业环境Triton活跃或仍然存在的地方。
“由于其新的性质,常见的性质和野外发现很少有少数例子,通常会有来自ICS恶意软件的奇异焦点。研究人员表示,虽然这种注意力有所有用,但我们认为捍卫者和事件响应者应更加关注所谓的“导管”系统时,旨在识别或停止以ICS为重点的入侵。
在2018年11月的咨询中,英国网络网络安全中心(NCSC)表示,Triton代表了ICS攻击方法的进一步演变。
“随着IC越来越多地,威胁演员将继续开发他们的能力来利用它们。咨询说,这种事件强调了实施有效缓解方法的组织的重要性。
尽管对工业控制系统的网络威胁不太可能被淘汰,但以色列Barak,Ciso在安全公司Cyber ay中表示,使用这种系统可以最小化和管理对关键基础设施的风险。
“Cyber Aeron的2018年ICS HoneyPot使我们能够遵守攻击该行业的威胁演员攻击网络,以及我们学到的知名度是宝贵的。总体而言,对关键基础设施的威胁是安全产品和从业者非常善于打击的东西。通过关注卫生和最佳实践,运行ICS的公司尽管他们面临的威胁,但运行ICS可以大大降低风险,“他说。
然而,巴拉克说,大多数国家仍然容易受到关键基础设施的网络攻击,因为系统通常是旧的且差不多的修补。
“电网互连,从而容易受到级联故障的影响。如果攻击者知道哪种变电站采取脱机或导致浪涌,则可以在不进行大量入侵的情况下取下栅格的重要部分。
“超越发电,有重大的本地化效果,黑客可以通过污水/水处理,工业化学生产或运输系统进行。再次,勤勉,持久性和改善的安全卫生可以大大减少风险,“巴拉克说。
