2017年12月,FireEye的安全专家发现了一种名为Triton的新型恶意软件,它专门针对工业控制系统(ICS)。Triton恶意软件被用于针对中东关键基础设施组织的攻击,鉴于经济动机和攻击之复杂的考量,研究者推测其中可能有政府势力参与。
Dragos公司的专家表示,Xenotime追踪到的恶意软件背后的幕后运营者至少从2014年就开始活动,APT小组于2017年早沙特阿拉伯某个关键基础设施组织被关闭后被发现。
Triton恶意软件针对的目标是施耐德电气公司的Triconex安全仪器系统(SIS)控制器,用于在工业环境中监控进程的状态,并在出现意外时将其恢复到安全状态,或者在参数显示潜在危险的情况下安全关闭。
只要获得对SIS系统的访问权,威胁行动者就会部署TRITON恶意软件,这表明攻击者对系统非常了解。FireEye阐述,攻击者预先构建并测试了Trition,它需要访问未被广泛应用的硬件和软件。Trition还被设计成使用专有的TriStation协议进行通信,而这个协议未公开文档,所以攻击者反向设计了协议以执行攻击。另外,Triton恶意软件还与Triconex SIS控制器交互,能够从控制器读取和写入程序和功能。
FireEye专家发现了Triton恶意软件与位于莫斯科的俄罗斯政府研究机构中央化学与机械科学研究所(CNIIHM)之间的联系。
FireEye收集的证据表明,俄罗斯CNIIHM研究所参与了Triton攻击中使用的一些工具的开发。他们相信Trition的恶意攻击活动得到了中央科学研究院化学与力学研究所(CNIIHM;又名ЦНИИХМ)的支持,这是一家位于莫斯科的隶属于俄罗斯政府的技术研究机构。FireEye发现的重要线索如下:
- 发现了支持TEMP.Veles活动的恶意软件开发活动,发现内容包括多个测试版本的恶意软件,其中一部分在TRITON入侵期间被TEMP.Veles使用;
- 对测试活动的进一步调查结果揭示了开发活动与俄罗斯政府、CNIIHM以及莫斯科特定人士的多重联系;
- 该人的在线活动表明其与CNIIHM有重要关系,该人在CNIIHM注册的IP地址被TEMP.Veles用于多种目的,包括监视TRITON的开源覆盖、网络侦察和支持TRITON入侵的恶意活动;
- 目标环境中部署了多个独特的工具。通过散列标识的这些相同工具中的一些由单个用户在恶意软件测试环境中进行评估,自2013年以来,用户一直活跃在恶意软件测试环境中,测试多个开源框架的定制版本,包括Metasploit,Cobalt Strike,PowerSploit和其他项目。用户的开发模式似乎特别关注AV规避和替代代码执行技术;
- 在tem.veles活动的中观察到的行为模式与CNIIHM所在的莫斯科时区一致。
- CNIIHM拥有构建Trition必需的专业知识和人员配备协助TRITON和 TEMP.Veles 运营的协调和发展。
研究者通过分析测试文件PDB路径的字符串,发现字符串可能是俄罗斯信息安全社区活跃用户(从2011年开始活跃)的绰号,结合被废弃的社交媒体资料,分析这个人是CNIIHM的教授。FireEye还发现,该研究所注册的一个IP地址参与了Triton攻击。
最后,FireEye谨慎地表示,“虽然我们知道TEMP .Veles 部署了TRITON攻击框架,但我们没有具体证据证明CNIIHM确实(或没有)开发相关工具。我们推断,CNIIHM可能会保留开发TRITON原型所需的专业知识,并根据他们设定的任务和其他公共信息进行原型设计。不排除CNIIHM的部分员工在没有研究所允许的情况下以其名义进行攻击的可能,但这种可能性非常小。”
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。