TRITON工业破坏恶意软件背后的组织使更多受害者成为受害者

攻击者在受害者的新天地棋牌上未被发现的时间已超过一年,并寻找了可操作的技术新天地棋牌。

6台工业物联网石油钻机石油钻机
Getty Images

安全研究人员发现了TRITON背后的组织的其他攻击 恶意软件 框架,这是迄今为止发现的为破坏工业设备而专门设计的少数威胁之一。 TRITON是在击中沙特阿拉伯一家石化厂的系统后于2017年首次发现的,目标可能是引起爆炸。该攻击失败了,因为攻击者犯了一个错误,导致紧急关闭了关键系统。

TRITON恶意软件能够对Schneider Electric制造的Triconex安全仪表系统(SIS)控制器进行重新编程。这些控制器是最后一道防线的一部分,可避免工业设备发生严重故障和可能发生的灾难。它们旨在在超过安全操作参数时自动关闭设备和过程。

到目前为止,针对操作关键基础架构的公司所观察到的绝大多数攻击都针对IT资产,而不是工业控制系统(ICS),其目标主要是新天地棋牌间谍活动。公开记录的一些破坏性ICS恶意软件攻击案例包括 震网 蠕虫摧毁了伊朗纳坦兹(Natanz)核工厂的浓缩铀离心机,BlackEnergy袭击导致乌克兰停电,以及TRITON袭击失败。

TRITON通过IT新天地棋牌访问操作系统

为了访问ICS系统,攻击者需要像进入其他组织一样,首先侵入组织的IT基础架构并获得持久性。 高级持续威胁(APT) 演员。周二,FireEye发布了 新报告 该文档记录了TRITON小组在其攻击的早期阶段所使用的技术和工具。该报告包含危害指标,文件哈希以及FireEye从与TRITON活动有关的事件响应中收集的其他信息,包括在第二个未命名的关键基础设施中检测到的入侵。

FireEye研究人员在报告中说:“在公司新天地棋牌上建立起最初的立足点后,TRITON演员将大部分精力集中在获得对OT(运营技术)新天地棋牌的访问上。” “他们没有表现出通常与间谍活动有关的活动,例如使用 关键记录员 和抓屏程序,浏览文件和/或泄露大量信息。他们使用的大多数攻击工具都集中在新天地棋牌侦察,横向移动和维持目标环境中的存在。”

该小组使用了公共和自定义后门,Web Shell和凭据收集工具,目的是避免检测防病毒软件并使其未被发现。实际上,根据FireEye的说法,攻击者在受害者的新天地棋牌中已经存在了将近一年,然后才能访问SIS工程工作站,从而可以部署TRITON恶意软件并对控制器进行重新编程。

通常,用于控制和监视工业过程的可编程逻辑控制器(PLC)是使用其制造商提供的专用软件从专用工程工作站编程的。对于Triconex安全控制器,该软件称为TriStation,它使用未经记录的专有协议,攻击者进行反向工程以创建TRITON恶意软件。

ICS攻击持久性可以持续数年

FireEye研究人员说:“复杂的ICS攻击的目标攻击生命周期通常以年为单位。” “攻击者需要很长时间为这种攻击做准备,以便了解目标的工业流程并构建定制工具。这些攻击通常也是由可能对应急行动准备而不是立即进行准备的民族国家实施的。攻击(例如,安装TRITON之类的恶意软件并等待正确的时间使用它)。在此期间,攻击者必须确保继续访问目标环境,否则有可能失去多年的努力,并可能损失昂贵的定制ICS恶意软件。例外。”

TRITON小组在入侵过程中采用的一些技术包括:重命名文件以模仿Windows更新程序包;使用RDP和PsExec等标准工具隐藏在典型的管理活动中;将Outlook Web服务器上的Web Shell放置在合法文件中;通过加密将Web Shell植入基于SSH的隧道,在使用工具后删除工具和日志以避免遗留痕迹,修改文件时间戳并在正常工作时间之外运行以避免被发现。

该小组至少自2014年创建某些工具以来就一直活跃,但几年来一直避免被发现。这说明了它的成熟和对操作安全性的关注。研究人员认为,除了迄今为止发现的两名确诊受害者外,该组织可能已经或仍然活跃在其他组织或ICS环境中。

由于迄今为止观察到的所有复杂ICS攻击都始于传统Windows,Linux和其他IT系统的折衷,因此拥有和操作工业控制设备的组织应提高对系统的攻击检测能力,这些系统可以作为到达这些关键资产的渠道。

“为了提高社区对于该行为者的能力和活动的认识,我们在第二个关键基础设施中发现了威胁行为者,这一努力变得更加重要,我们分享了我们对该小组的了解TTP和自定义工具,”研究人员说。 “我们鼓励ICS资产所有者利用此报告中包含的检测规则和其他信息来寻找相关活动,因为我们认为威胁行为者存在或存在于其他目标新天地棋牌中的可能性很大。”

版权© 2019 IDG通讯,Inc.