Triton惡意軟體與俄政府研究所相關
一、簡介
在之前的一篇博文中,我們詳細介紹了 ofollow,noindex">TRITON intrusion ,它影響了關鍵基礎設施中的工業控制系統(ICS)。我們此次跟蹤的行動名為TEMP.Veles。在這篇博文中,我們提供了額外的資訊,將TEMP.Veles及其圍繞TRITON入侵的活動與俄羅斯政府所有的研究機構關聯起來。
TRITON入侵顯示與俄羅斯相關,可能由俄羅斯研究所支援
FireEye Intelligence確信,TRITON的入侵活動得到了俄羅斯中央科學研究院化學與力學研究所(CNIIHM;a.k.a.ЦНИИХМ)的支援。該研究所位於莫斯科,是俄羅斯政府所有的技術研究機構。本文將進一步詳細說明支援此評估的因素。我們提供儘可能多的公共資訊來支援此評估,同時提供敏感資訊,進一步有助於我們的高信度評估。
·1.FireEye發現了很可能支援TEMP.Veles行動的惡意軟體開發活動。包括測試惡意軟體的多個版本,其中一些版本在TRITON入侵期間由TEMP.Veles使用。
· 2.對此測試活動的調查顯示,它與俄羅斯、CNIIHM以及莫斯科的某個特定人士存在多種獨立關係。此人的網上活動顯示與CNIIHM存在重要關聯。
· 3.註冊CNIIHM的IP地址已被TEMP.Veles用於多種目的,包括監控TRITON的開源覆蓋,網路偵察和支援TRITON入侵的惡意活動。
· 4.在TEMP.Veles活動中觀察到的行為模式與CNIIHM所在的莫斯科時區一致。
· 5.我們判斷CNIIHM可能擁有必要的機構和人員,協助TRITON和TEMP.Veles業務的編排和發展。
雖然不能排除一個或多個CNIIHM員工可能在沒有僱主的批准下進行TEMP.Veles活動的可能性,但通過本文分享的細節表明,此解釋與研究所支援TEMP.Veles相比不太可信。
二、細節
惡意軟體測試揭示了TEMP.Veles和CNIIHM之間的關聯
在調查TEMP.Veles活動期間,我們發現該組織在目標環境中部署了多個獨特的工具。這些相同工具(通過Hash)中的一些由單個使用者在惡意軟體測試環境中進行評估。
惡意軟體測試環境鎖定TEMP.Veles
我們識別出一個惡意軟體測試環境,確信該環境用於改進部分TEMP.Veles工具。
· 有時,此惡意軟體測試環境的使用與TEMP.Veles的網路活動相關,展示了對入侵活動的直接支援。
· 2014年測試的四個檔案基於開源專案cryptcat。對這些cryptcat二進位制檔案的分析表明,攻擊者不斷修改它們以降低AV檢測率。其中一個檔案部署在TEMP.Veles目標的網路中。具有最少檢測的編譯版本在2017年重新測試,並在不到一週後部署在TEMP.Veles的目標環境中。
· TEMP.Veles的橫向移動使用了一個公開的基於Shell/">PowerShell的工具WMImplant。在2017年的多個日子裡,TEMP.Veles很難在多個受害系統上執行此實用程式,這可能是由於AV檢測。不久之後,在惡意軟體測試環境中再次評估了自定義實用程式。第二天,TEMP.Veles再次在受感染系統上嘗試了該實用程式。
· 自2013年以來,使用者一直活躍在惡意軟體測試環境中,測試多個開源框架的定製版本,包括Metasploit,Cobalt Strike,PowerSploit和其他專案。使用者的開發模式特別關注AV規避和替代程式碼執行技術。
· 在Mandiant進行的調查中,TEMP.Veles使用的自定義有效載荷通常是合法開源軟體的武器化版本,並對程式碼進行改造。
測試,惡意軟體部件及惡意活動指向CNIIHM
多種因素表明該活動起源於俄羅斯並與CNIIHM相關。
· 測試檔案中的PDB路徑包含一個唯一標記或使用者名稱的字串。至少從2011年起,此標記與活躍在俄羅斯資訊保安社群的俄羅斯人有關。
· 此人被認為對俄語版Hacker Magazine(хакер)的漏洞研究做出貢獻。
· 根據現已有的社交媒體資料,這個人是CNIIHM的教授,該教授位於莫斯科Nagatino-Sadovniki區的Nagatinskaya街附近。
· 俄羅斯社交網路上使用此標記的另一個配置檔案當前顯示了該使用者在莫斯科附近的多張照片。
· TEMP.Veles事件包括源自87.245.143.140的惡意活動,該IP已在CNIIHM註冊。
· 該IP地址已用於監控TRITON的開源覆蓋範圍,提高了TEMP.Vele在相關活動中對未知主體的感興趣程度。
· 它還對TEMP.Veles感興趣的目標進行了網路偵察。
· 此IP地址與支援TRITON入侵的其他惡意活動有關。
· 多個檔案具有西里爾文名稱和部件。
圖1:TRITON攻擊者執行時間的熱圖,以UTC時間表示
三、行為模式與莫斯科時區一致
對手行為進一步暗示TEMP.Veles運營商位於莫斯科。這為莫斯科俄羅斯研究機構CNIIHM參與TEMP.Veles提供了進一步證明。
圖2: 修改的服務配置
· 我們確認了TEMP.Veles在目標網路橫向移動期間建立的眾多檔案的建立時間。這些檔案建立時間符合在UTC + 3時區(靠近莫斯科)內執行的攻擊者的典型工作時間表(圖1)。
· 從TEMP.Veles工具集恢復的其他語言部件也與此區域一致。
· 在調查期間恢復的ZIP存檔schtasks.zip包含CATRUNNER的安裝程式和解除安裝程式,其中包含偽裝服務“ProgramDataUpdater”的兩個版本的XML計劃任務定義。
· 此惡意安裝版本具有英文的任務名稱和描述,乾淨解除安裝版本具有西里爾文的任務名稱和描述。ZIP中修改日期的時間表也表明攻擊者按順序將俄語版本改為英語,這增加了故意掩蓋其起源的可能性(圖2)。
圖3: 中央科學研究院化學與力學研究所 (CNIIHM) (Google Maps)
四、CNIIHM可能擁有必要的機構和人才來建立TRITON並支援TEMP.Veles運營
雖然我們知道TEMP.Veles部署了TRITON攻擊框架,但我們沒有具體證據證明CNIIHM已經(或沒有)開發該工具。根據研究所自我描述的任務和其他公共資訊,我們推斷CNIIHM具備開發TRITON所需的機構專業知識。
· CNIIHM至少擁有兩個在關鍵基礎設施、企業安全和武器/軍事裝備開發方面經驗豐富的研究部門:
· 應用研究中心建立了保護關鍵基礎設施免受破壞性資訊和技術影響的手段和方法。
· 實驗機械工程中心開發武器以及軍事和特殊裝置。它還研究了在緊急情況下實現企業安全的方法。
· CNIIHM正式與其他國家技術和開發組織合作,包括:
· 莫斯科物理科學與技術學院(PsyTech),專門研究應用物理、計算科學、化學和生物學。
· 國家科學中心協會“Nauka”,負責協調43個俄羅斯聯邦科學中心(SSC RF)。它的一些主要關注領域包括核物理、電腦科學和儀器儀表、機器人和工程以及電氣工程等。
· 聯邦技術和出口管制局(FTEC),負責出口管制、智慧財產權和保護機密資訊。
·俄羅斯導彈與火炮科學學院(PAPAH),專門從事加強俄羅斯國防工業綜合體的研究與開發。
· 來自俄羅斯招聘網站與CNIIHM的官方域名相關的資訊,表明CNIIHM還致力於開發計算機輔助設計和控制的智慧系統,以及建立新的資訊科技(圖4)。
圖4: CNIIHM 網站主頁
五、替代解釋站不住腳
有一種可能性是一名或多名CNIIHM員工在未經僱主批准的情況下進行將TEMP.Veles與CNIIHM聯絡起來的行動。但是,這種情況發生的可能性極小。
· 在此情況下,一個或多個人(可能包括至少一名CNIIHM員工)基於上面討論的綽號——在CNIIHM的地址空間內進行廣泛、高風險的惡意軟體開發和入侵活動,多年沒有CNIIHM的認可和批准。
· CNIIHM的特徵與我們對負責TEMP.Veles活動的組織的期望一致。並且TRITON是一個高度專業化的框架。