0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Trisis与黑客组织Xenotime

pIuy_EAQapp 来源:未知 作者:李倩 2018-05-29 15:12 次阅读

5月28日讯 工业网络安全公司 Dragos 2018年5月24日披露,"最强"工控恶意软件 Trisis(又被称为 Triton 和 HatMan)背后的黑客组织 Xenotime 初露行动轨迹,目前已扩大攻击目标范围。

Trisis 与黑客组织 Xenotime

Trisis 是首款专门针对安全仪表系统的恶意软件,也首款能远程让民用基础设施进入不安全状态的恶意软件,其工作方式与 Stuxnet 类似,均有能力操纵旋转组件的转速,可能引起工厂关闭或者使人受伤。

Trisis 的厉害之处在于其完整的文件库通过五种不同的编程语言构建,仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士预测,一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件,其甚至难倒了美国国家安全局(NSA)的分析师。足以显示出黑客组织 Xenotime 的潜在危险性。

曾攻击安全仪表系统(SIS)

Xenotime 黑客组织可能自2014年开始活跃,2017年12月,该黑客组织利用施耐德 Triconex安全仪表控制系统(SIS,Safety Instrumented System)零日漏洞,攻击中东一家石油天然气工厂,致其工厂停运。

安全仪表系统(SIS)作为硬件和软件控制系统,其主要作用是保护核、油气或制造等工厂的工业进程和设备。SIS 是工厂企业自动控制中的重要组成部分。目前全球有为数不多的几家公司在开发并管理 SIS 系统,包括但不限于艾默生(Emerson)、霍尼韦尔(Honeywell)和日本的横河电机(Yokogawa)。

Xenotime 瞄准全球更多安全系统

工业网络安全公司 Dragos 经过分析后发现,黑客组织 Xenotime 已将目标瞄向全球的组织机构,该公司未透露该组织近期的攻击活动细节,但指出该黑客组织活跃在多个设施中,除了施耐德电气的 Triconex 以外还针对其它的安全系统。

据一名前美国官员透露,美国的工业公司已遭遇该组织发起的攻击,但并未透露最近受影响的系统或工业公司。目前尚不清楚黑客组织 Xenotime 如何成功开发并维护了如此复杂的恶意软件。

Dragos 公司有一定的把握认为,Xenotime 打算建立必要的访问和能力,以在未来引发潜在破坏性、甚至是毁灭性事件。

在沙特阿拉伯油气工厂遭遇的攻击事件中,该组织创建了一个自定义恶意软件框架和定制的凭证收集工具,但错误配置问题触发了安全系统。逐渐成熟的 Xenotime 组织未来犯这样低级错误的可能性将大幅降低。

已具备黑进安全仪表系统的能力

Dragos 公司威胁情报与分析总监塞尔吉奥·卡尔塔吉拉诺表示,最近几起事件说明,Xenotime 组织已能成功攻击企业的 IT 系统并进入安全仪表系统,Xenotime 正在使用网络钓鱼邮件和所谓的“水坑”网站攻击工业公司的工程师,旨在吸引工程师的注意力,以入侵他们的账号并窃取管理凭证。之后,Xenotime 通常会潜伏数周或数月,横向移动寻找 IT 和 OT 网络之间的缺陷。

Xenotime身份猜测

工业网络安全和威胁情报公司 CyberX 的研究人员曾认为,Trisis 的幕后黑手是伊朗,但 Dragos 尚未提供任何有关归因的信息。Dragos 公司指出,尚未发现 Xenotime 与其它已知黑客组织存在关联的线索。

Dragos 一直在追踪几个针对工控系统的威胁攻击组织。该公司目前已发布报告分析几个此类黑客组织的行径,包括与俄罗斯有关的Allanite(针对美国和英国的电力公司),以及与伊朗有关的 Chrysene(攻击中东和英国的工控系统网络)。

其他工控恶意软件

与国家有关联的黑客组织过去曾尝试使用各类针对ICS的恶意软件。包括 Stuxnet、Havex、Blackenergy2、Crashoverride:

Havex 也曾被用来入侵 ICS 制造商的网站,在合法软件下载中布下陷阱;

2015年12月,Blackenergy2被用来攻击乌克兰电网;

2016年12月,Crashoverride被用来攻击乌克兰多个发电厂。

Trisis 是一个多阶段恶意软件框架,被认为是第5个专门针对 ICS 恶意软件变种,其它此类恶意软件包括 CrashOverride(2016年攻击乌克兰变电站)和最臭名昭著的震网病毒 Stuxnet(2010年破坏伊朗核电站)。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 工业网络
    +关注

    关注

    0

    文章

    90

    浏览量

    16366
  • 黑客
    +关注

    关注

    3

    文章

    284

    浏览量

    21862

原文标题:"最强"工控恶意软件Trisis的幕后黑手已扩大攻击目标

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    黑客也有杯具的时候

      在偌大的城市里看着车水马龙,一根又一根的抽着烟,我一直以为黑客是最牛的,在现在看来我错了…前段时间组织有一场盛大的网络集会,所有会员必须在线,统一听从总指挥安排,无故缺席者拉白
    发表于 07-15 17:20

    比特币勒索病毒肆意狂行 揭秘永恒之蓝背后的黑客组织

    一场席卷全球的勒索病毒仍在入侵人们的电脑,同时也让一个黑客组织浮出水面。
    发表于 05-16 11:29 1769次阅读

    比特币勒索病毒背后的黑客组织?这样的病毒,黑客是如何从中获利?

    一场席卷全球的勒索病毒仍在入侵人们的电脑,同时也让一个黑客组织浮出水面。5月13日开始,一种名为“WanaCrypt0r 2.0”的蠕虫病毒开始在互联网上蔓延,它可以使感染的电脑在10秒内锁住。
    发表于 05-17 17:19 1408次阅读

    FireEye口中的中国黑客组织攻击美国国防企业?

    FireEye口中的中国黑客组织:TEMP.Periscope 、TEMP.Jumper 、南海树等。
    的头像 发表于 03-18 10:40 6748次阅读

    赛门铁克称中国黑客组织攻破卫星及防务公司

    E安全6月22日讯 近日,美国网络安全公司赛门铁克(Symantec)称,疑似中国的黑客组织 Thrip 已经渗透到了美国和东南亚的卫星运营商、防务承包商及电信公司。
    的头像 发表于 06-25 11:48 3195次阅读

    黑客组织成员表示,网络战可能瞄准石油和天然气站点

    前Anonymous黑客组织成员对2019年网络战和物联网进行了预测,认为工业部门即将面临巨大的威胁和挑战。
    的头像 发表于 03-18 14:58 1557次阅读

    黑客组织Fxmsp攻击3家美国反病毒公司

    黑客组织Fxmsp专攻网络安全公司,该组织称目前已经入侵了3家美国反病毒公司,获取了部分产品的源代码。
    的头像 发表于 05-12 09:47 2494次阅读

    伊朗黑客组织新增攻击手段,政府、军方、电信和学术界易受影响

    伊朗黑客组织MuddyWater APT在他们的黑客武器库中添加了新攻击手段。
    的头像 发表于 06-10 15:48 2877次阅读

    著名黑客组织XENOTIME将目标扩大到美国等地区的电力公用事业机构

    XENOTIME组织曾成功地破坏了几处油气环境,这证明了它在其他垂直领域也有能力做到这一点。
    的头像 发表于 06-19 14:55 2393次阅读

    黑客劫持其他黑客组织的工具?俄罗斯黑客做到了

    赛门铁克首次观察到一个黑客组织劫持并使用另一个组织的工具。
    的头像 发表于 06-24 16:56 2673次阅读

    APT黑客TA505组织新添恶意软件AndroMut,预计在今夏活跃

    TA505黑客组织曾发起许多攻击,如Dridex,Locky勒索软件,ServHelper恶意软件,FlawedAmmyy等。
    的头像 发表于 07-09 15:14 2930次阅读

    Magecart黑客组织使用新手法,过万网站被黑

    Magecart黑客组织最近锁定了配置错误的Amazon S3储存桶,估计已有超过1.7万个网站受害​。
    的头像 发表于 07-15 10:33 3581次阅读

    俄罗斯,伊朗等国家的黑客组织正攻击参与美国总统大选的组织和个人

    微软的一份报告表示,俄罗斯,伊朗等国家的黑客组织正在将攻击参与今年美国总统大选的组织和个人。
    的头像 发表于 09-11 14:19 2170次阅读

    FIN11黑客组织加入勒索软件计划,主要针对北美欧洲等窃取数据

    FIN11是一个有经济动机的黑客组织,其历史至少从2016年开始,它已经调整了恶意电子邮件活动,将其转变为勒索软件作为主要的盈利方式。
    的头像 发表于 10-15 14:19 2280次阅读

    又到高校开学期,黑客组织已经瞄准全球各地学校诱骗数据

    随着各高校的开学,Silent Librarian 黑客组织增加了鱼叉式网络钓鱼攻击。显然,他们的目标很明确。Silent Librarian是一个来自伊朗的黑客组织,也被称为 TA4
    的头像 发表于 10-19 15:04 1848次阅读