Nya form av skadlig kod som utför internet spaning, större cyberattack att komma
Nyligen identifierade Xwo malware skulle kunna lägga grunden för långt mer skadliga it-angrepp runt om i världen, varnar forskare.
Spår av en hacka gruppen bakom de destruktiva Triton skadlig kod har hittats på en ny infrastruktur anläggning efter en ökända attacken i Mellanöstern.
Triton, också känd som Trisis, har utvecklats särskilt för att rikta sig till en viss typ av industriell kontroll system (ICS), nämligen Triconex säkerhet säkerhetskritiska system (SIS) kontrollrar som utvecklats av Schneider Electric.
Malware är ovanligt i det faktum att den kod som inriktar sig på dessa system för att leda processen med nedläggningar och att mixtra med emergency system.
Det finns bara en handfull exempel på andra industriella system-särskilt skadlig kod som Stuxnet och Industroyer, malware-varianter som har riktat kärnkraft system i det förflutna.
Triton var först såg 2017, men det är troligt att de aktörer i systemet har varit aktiv sedan 2014. Malware användes mot en petrokemisk anläggning som ägs av Tasnee i Saudiarabien.
Symantec forskare tror att attacken var tänkt att orsaka fysiska skador på industriområdet. Attacken var nära att orsaka allvarliga skador på anläggningen, men Triton verksamhet oavsiktligt stängt ned anläggningen på grund av sin hantering av SIS-system som orsakade dem att ange ett misslyckat säkert tillstånd.
Forskare från FireEye sade på onsdagen att denna misslyckade försök har inte avskräckt koncernen, som har avslöjats på en ny plats.
Namnet på företaget har inte avslöjats. Men, FireEye sa att offret var en “kritisk infrastruktur anläggning” och att Triton operatörer var närvarande på offrets system för nära ett år. FireEye är Mandiant cyberforensics arm var inblandade i att undersöka intrång, men företaget har varit tight-lipped om vilka skador-om någon-var uppnått.
Se även: Industroyer: En fördjupad titt på den skyldige bakom Ukrainas elnätet blackout
Men it-företaget har publicerat några nya detaljer om Triton koncernens infiltration taktik.
Efter att ha fått in en fot i företagets sida av nätet, Triton-gruppen fokuserat på att få tillgång till den operativa sidan av det industriella systemet. Hotet aktörer inte stjäla all data, ta några skärmdumpar, eller använda någon form av keylogger, istället fokuserar de på att flytta i sidled genom systemet, för att upprätthålla uthållighet och utför nätverk spaning.
Hotet koncernens verktygslådan innehåller både allmänna och anpassade verktyg, som byttes runt för att undvika antivirusprogram och för att underlätta olika skeden av attack, till exempel hackare bytt till custom bakdörrar i IT-och OT nätverk av offret bara innan de får tillgång till en SIS tekniska arbetsstation.
Mimikatz, en offentlig verktyg, och SecHack, ett anpassat verktyg, både som används av hackare för referens skörd. Triton aktörer också bytt namn på sina filer för att framstå som legitim, till exempel efter att Microsoft Update-filerna, och använde sig av både webshells och SSH-tunnlar för att kunna utföra sina hemliga aktiviteter och att släppa ytterligare verktyg.
CNET: Ditt hotell in-och bekräftelse kan vara att sätta dig i riskzonen
“När skådespelaren fick tillgång till riktade SIS controllers, de visade sig att enbart fokusera på att upprätthålla tillgång samtidigt som man försöker att framgångsrikt distribuera Triton,” FireEye säger.
Triton aktörer höll sina aktiviteter utanför arbetet gånger för att begränsa risken för att bli upptäckt.
Hackare också fått tillgång till offrets distributed control system (DCS) som skulle ha gett information om anläggningen verksamhet och processer. Men gruppen ignorerade detta och enbart fokuserat på SIS controller.
Medan Triton skadlig kod i sig är inte tros ha varit utplacerade på offrets system, att hitta spår av dataintrång gruppen bakom den farliga malware skulle ha säkerligen varit en stor anledning till oro-särskilt med tanke på koncernens historia.
FireEye har tidigare länkat Triton att Ryssland är Centrala Vetenskapliga forskningsinstitut Kemi och Mekanik research lab, baserad i Moskva, med “högt förtroende.”
TechRepublic: Säkerhetsproblem i Verizon Fios Quantum Gateway gör det möjligt för angripare att få root-privilegier
“Det är ofta en sällsam fokus från säkerhet på ICS skadlig kod till stor del på grund av dess nya karaktär och det faktum att det finns väldigt få exempel som finns i vilda,” FireEye säger. “Vi uppmuntrar ICS tillgång ägare att utnyttja de regler och annan information som ingår i denna rapport att jaga relaterad aktivitet som vi tror att det finns en god chans hotet skådespelaren var eller är närvarande i andra mål nätverk.”
FireEye har delat med sig av en lista på möjliga indikatorer för att hotet gruppen är ansluten till i industriella miljöer och uppmuntrar IT-administratörer för att hålla ett öga på eventuella misstänkta filer eller verksamhet som rör dem.
Tidigare och relaterade täckning
GreyEnergy: Ny skadlig kod kampanj är inriktad på kritiska infrastruktur för företag
Forskare hitta Stuxnet, Mirai, WannaCry lurar i industriell USB-enheter
LockerGoga: Det handlar inte om lösen
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter