Ny form for malware, der udfører internet rekognoscering, større cyberattack til at komme
Nyligt identificerede Xwo malware kunne være om grundlaget for en langt mere ødelæggende cyberangreb rundt omkring på kloden, advarer forskere.
Spor af en hacking gruppen bag den destruktive Triton malware er blevet fundet på en ny infrastruktur, anlæg, efter et voldsomt angreb i Mellemøsten.
Triton, også kendt som Trisis, er specielt udviklet til at målrette mod en bestemt type industrial control system (ICS), nemlig Triconex sikkerhed instrumenteret systemer (SIS) – controllere, der er udviklet af Schneider Electric.
Malware er usædvanligt i, at koden hones i disse systemer medfører, at processen nedlukninger og til at manipulere med nødsituationer systemer.
Der er kun en håndfuld eksempler på, at andre industrielle system-specifik malware, såsom Stuxnet og Industroyer, malware-varianter, der har målrettet nukleare og power systemer i fortiden.
Triton blev først opdaget i 2017, men det menes, at operatører af systemet kan have været aktiv siden 2014. Den malware, der blev brugt mod en petrokemiske anlæg, der ejes af Tasnee i Saudi-Arabien.
Symantec forskere mener, at angrebet var beregnet til at forårsage fysisk skade på det industrielle område. Angrebet var tæt på at forårsage alvorlige skader på anlægget, men Triton ‘ s aktiviteter uforvarende lukkede ned for anlægget på grund af sin manipulation af SIS-systemer, som fik dem til at indtaste et mislykket sikker tilstand.
Forskere fra FireEye sagde onsdag, at dette forsøg har ikke afskrækket den gruppe, som er blevet afdækket ved en ny placering.
Navnet på den virksomhed, er ikke blevet afsløret. Men FireEye siger offer var en “kritisk infrastruktur anlæg”, og at Triton aktører var til stede på ofrets systemer for tæt på et år. FireEye er Mandiant cyberforensics arm var involveret i efterforskningen af indbrud, men selskabet har været tavse om, hvad der skader — hvis noget — blev opnået.
Se også: Industroyer: En tilbundsgående kig på den skyldige bag Ukraine elnettet mørklægning
Men cybersecurity firma har udgivet nogle nye oplysninger om Triton koncernens infiltration taktik.
Efter at få et fodfæste i virksomhedens side af nettet, Triton-gruppen fokuserede på at få adgang til den operative side af det industrielle system. Truslen aktører ikke stjæle data, kan du tage de screenshots, eller bruge nogen form for keylogger; i stedet har de fokuseret på at bevæge sig lateralt gennem systemet, vedligeholdelse af vedholdenhed og netværk, der udfører rekognoscering.
Truslen koncernens toolkit indeholder både generiske og tilpassede værktøjer, der blev skiftet rundt for at undgå, at antivirus-software og til at lette de forskellige faser af angreb-for eksempel hackere skiftede til brugerdefineret bagdøre i DET og OT netværk af offeret lige før at få adgang til en SIS engineering arbejdsstation.
Mimikatz, en offentlig værktøj, og SecHack, et tilpasset værktøj, er både bruges af hackere til credential høst. Triton ‘ s operatører også omdøbt deres filer for at fremstå som legitime, som efter Microsoft Update-filer, og har gjort brug af både webshells og SSH tunneler til at udføre deres hemmelige aktiviteter og til at falde yderligere værktøjer.
CNET: Dit hotel check-in bekræftelse kan sætte dig i fare
“Når skuespilleren har fået adgang til den målrettede SIS-controllere, de syntes udelukkende at fokusere på at opretholde adgang, mens du forsøger at implementere Triton,” FireEye siger.
Triton ‘ s operatører holdt deres aktiviteter til off-arbejde gange for at begrænse risikoen for at blive opdaget.
Hackerne også har fået adgang til ofrets distribueret kontrolsystem (DCS), som ville have givet oplysninger om anlæggets drift og processer. Men gruppen ignoreret dette og udelukkende fokuseret på den SIS-controller.
Mens Triton malware er ikke i sig selv menes at have været udstationeret på offerets system, at finde spor af hacking gruppen bag de farlige malware ville helt sikkert har været en anledning til alvorlig bekymring-især i betragtning af koncernens tidligere historie.
FireEye har tidligere forbundet Triton Ruslands Centrale Videnskabelige Forsknings Institut for Kemi og Mekanik research lab, der er baseret i Moskva, med “høj tillid.”
TechRepublic: Svaghed i Verizon Fios Quantum Gateway gør det muligt for angribere at opnå root-rettigheder
“Der er ofte en enestående fokus fra sikkerheden samfund på ICS-malware hovedsagelig på grund af sin nye karakter og det faktum, at der er meget få eksempler, der findes i naturen,” FireEye siger. “Vi opfordrer ICS aktiv ejere til at udnytte den opdagelse regler og andre oplysninger, der indgår i denne rapport til at jage for relaterede aktiviteter, som vi mener, at der er en god chance for, at den trussel skuespiller var eller er til stede i andre mål-netværk.”
FireEye har delt en liste af potentielle indikatorer på, at truslen gruppe er tilsluttet i industrielle miljøer, og opfordrer IT-administratorer at holde øje med eventuelle mistænkelige filer eller aktivitet, som vedrører dem.
Tidligere og relaterede dækning
GreyEnergy: Nye malware kampagne er målrettet mod kritisk infrastruktur virksomheder
Forskere finder Stuxnet, Mirai, WannaCry lurer i industrielle USB-drev
LockerGoga: Det er ikke alle om den løsesum,
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre