Nul
CNIIHM, Moskou
Beeld: Google Maps
Een russisch laboratorium van het onderzoek is achter cyberaanvallen op cruciale infrastructuur, met inbegrip van een Saoedi-petrochemische plant, volgens een vandaag gepubliceerd rapport van ONS cyber-beveiligingsbedrijf FireEye.
De cyber-aanvallen vonden plaats in 2017 en ingezet met een nooit-vóór-gezien malware stam bekend als Triton –of Trisis– specifiek ontworpen om te communiceren met Schneider Electric ‘ s Triconex Safety Instrumented System (SIS) controllers
Volgens de technische rapporten van FireEye, Dragos, en Symantec, Triton werd ontworpen om ofwel afsluiten van een productie proces of toestaan SIS-gestuurde machines te werken in een onveilige toestand.
De groep achter de malware, die FireEye is tracking onder de codenaam van TEMP.Veles, bijna in geslaagd vorig jaar, toen het bijna veroorzaakt een explosie op een Saoedi-petrochemische plant eigendom van Tasnee, een particulier Saoedi-bedrijf, volgens een New York Times.
De malware is van origine een mysterie wanneer FireEye ontdekte als eerste Triton in 2017 en bleef een mysterie, zelfs nadat de New York Times in Maart 2018.
Maar in een rapport dat vandaag wordt gepubliceerd, FireEye zegt dat het volgen van verder onderzoek naar de incidenten waar de Triton malware werd ingezet, het kan nu beoordelen met “groot vertrouwen” dat het Centraal Instituut voor Wetenschappelijk Onderzoek in de Chemie en Mechanica (CNIIHM; ЦНИИХМ), een door de overheid gecontroleerde technisch onderzoek instelling gelegen in Moskou, betrokken was bij de aanslagen.
FireEye het rapport niet de link van de Triton malware zelf te CNIIHM, maar de secundaire malware stammen gebruikt door TEMP.Veles en ingezet tijdens de incidenten waar Triton werd ingezet.
Aanwijzingen in deze secundaire malware stammen gebruikt om te helpen bij de implementatie van de belangrijkste Triton lading bevatte genoeg artefacten die toegestaan onderzoekers bij het bepalen van hun bron.
Het bedrijf geeft een aantal-maar niet alle-indicatoren die leiding geeft aan de onderzoekers tot de conclusie te komen dat CNIIHM was achter de ontwikkeling van deze Triton-aangrenzende malware stammen ingezet tijdens de belangrijkste Triton aanvallen.
Een VOB pad voor een van de bestanden een string die lijkt op een unieke handvat of gebruikersnaam. De handgreep/gebruikersnaam behoort tot een van Moskou op basis van infosec deskundige en een voormalig professor aan CNIIHM.Schadelijke activiteit gebonden aan TEMP.Veles scans en bewaken van werkzaamheden is ontstaan uit 87.245.143.140, een IP-adres geregistreerd te CNIIHM.Meerdere Triton-gerelateerde bestanden –die waren toevallig ook online geüpload in December 2017– opgenomen Cyrillische namen en artefacten.Malware-bestand maken tijden zijn in overeenstemming met de normale werktijden specifieke Moskou tijdzone.
Afbeelding: FireEye
“Sommige mogelijkheid blijft bestaan dat een of meer CNIIHM werknemers zou hebben uitgevoerd met de activiteit koppelen TEMP.Veles te CNIIHM zonder hun werkgever goedkeuring,” FireEye zei vandaag. “Echter, dit scenario is zeer onwaarschijnlijk.”
FireEye zegt dat op basis van CNIIHM van de zelf-beschreven missie en andere openbare informatie, het research lab had zowel de tools en expertise voor de ontwikkeling van dit type van malware, maar ook redenen om dit te doen omdat zijn banden met verschillende russische militaire en kritische infrastructuur is van de omgevingslucht.
Waarom Rusland geïnteresseerd zou zijn in het saboteren van een Saoedi-petrochemische power plant, de redenen zijn onbekend.
Wanneer de aanval op de Tasnee plant aan het licht kwam, veel infosec experts toegeschreven Triton –zonder enige het behoud bewijs– de iraanse cyber-intelligence-apparaat.
Alles is mogelijk op dit punt, van Rusland te willen destabiliseren van de Golf-regio te CNIIHM het huren van de cyber-mogelijkheden tot externe dreigingen.
VERWANTE CYBERSECURITY DEKKING:
Zero-day in de populaire jQuery plugin actief misbruikt voor ten minste drie jaarKaspersky zegt dat het gedetecteerde infecties met DarkPulsar, beweerde de NSA malwareChrome Rand, IE, Firefox en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Microsoft JET kwetsbaarheid nog steeds open voor aanvallen ondanks een recente patch voorMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNETGitHub veiligheidswaarschuwingen nu ondersteuning biedt voor Java-en .NETTO projectenOpen source web hosting software in het gedrang komt met DDoS-malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0