FireEye發現Triton惡意軟體與俄羅斯有關的證據
2017年12月,FireEye的安全專家發現了一種名為Triton的新型惡意軟體,它專門針對工業控制系統(ICS)。Triton惡意軟體被用於針對中東關鍵基礎設施組織的攻擊,鑑於經濟動機和攻擊之複雜的考量,研究者推測其中可能有政府勢力參與。
Dragos公司的專家表示,Xenotime追蹤到的惡意軟體背後的幕後運營者至少從2014年就開始活動,APT小組於2017年早沙烏地阿拉伯某個關鍵基礎設施組織被關閉後被發現。
Triton惡意軟體針對的目標是施耐德電氣公司的Triconex安全儀器系統(SIS)控制器,用於在工業環境中監控程序的狀態,並在出現意外時將其恢復到安全狀態,或者在引數顯示潛在危險的情況下安全關閉。
只要獲得對SIS系統的訪問權,威脅行動者就會部署TRITON惡意軟體,這表明攻擊者對系統非常瞭解。FireEye闡述,攻擊者預先構建並測試了Trition,它需要訪問未被廣泛應用的硬體和軟體。Trition還被設計成使用專有的TriStation協議進行通訊,而這個協議未公開文件,所以攻擊者反向設計了協議以執行攻擊。另外,Triton惡意軟體還與Triconex SIS控制器互動,能夠從控制器讀取和寫入程式和功能。
FireEye專家發現了Triton惡意軟體與位於莫斯科的俄羅斯政府研究機構中央化學與機械科學研究所(CNIIHM)之間的聯絡。
FireEye收集的證據表明,俄羅斯CNIIHM研究所參與了Triton攻擊中使用的一些工具的開發。他們相信Trition的惡意攻擊活動得到了中央科學研究院化學與力學研究所(CNIIHM;又名ЦНИИХМ)的支援,這是一家位於莫斯科的隸屬於俄羅斯政府的技術研究機構。FireEye發現的重要線索如下:
- 發現了支援TEMP.Veles活動的惡意軟體開發活動,發現內容包括多個測試版本的惡意軟體,其中一部分在TRITON入侵期間被TEMP.Veles使用;
- 對測試活動的進一步調查結果揭示了開發活動與俄羅斯政府、CNIIHM以及莫斯科特定人士的多重聯絡;
- 該人的線上活動表明其與CNIIHM有重要關係,該人在CNIIHM註冊的IP地址被TEMP.Veles用於多種目的,包括監視TRITON的開源覆蓋、網路偵察和支援TRITON入侵的惡意活動;
- 目標環境中部署了多個獨特的工具。通過雜湊標識的這些相同工具中的一些由單個使用者在惡意軟體測試環境中進行評估,自2013年以來,使用者一直活躍在惡意軟體測試環境中,測試多個開源框架的定製版本,包括Metasploit,Cobalt Strike,PowerSploit和其他專案。使用者的開發模式似乎特別關注AV規避和替代程式碼執行技術;
- 在tem.veles活動的中觀察到的行為模式與CNIIHM所在的莫斯科時區一致。
- CNIIHM擁有構建Trition必需的專業知識和人員配備協助TRITON和 TEMP.Veles 運營的協調和發展。
研究者通過分析測試檔案PDB路徑的字串,發現字串可能是俄羅斯資訊保安社群活躍使用者(從2011年開始活躍)的綽號,結合被廢棄的社交媒體資料,分析這個人是CNIIHM的教授。FireEye還發現,該研究所註冊的一個IP地址參與了Triton攻擊。
最後,FireEye謹慎地表示,“雖然我們知道TEMP .Veles 部署了TRITON攻擊框架,但我們沒有具體證據證明CNIIHM確實(或沒有)開發相關工具。我們推斷,CNIIHM可能會保留開發TRITON原型所需的專業知識,並根據他們設定的任務和其他公共資訊進行原型設計。不排除CNIIHM的部分員工在沒有研究所允許的情況下以其名義進行攻擊的可能,但這種可能性非常小。”
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。