Nouvelle forme de logiciels malveillants réalisation d’internet, la reconnaissance, la plus grande cyberattaque à venir
Nouvellement identifiés Xwo malware pourrait être de jeter les bases pour un beaucoup plus endommager les cyberattaques dans le monde, avertissent les chercheurs.
Des Traces d’un piratage groupe derrière le destructeur Triton logiciels malveillants ont été trouvés à une nouvelle infrastructure, à la suite d’une infâme attaque dans le Moyen-Orient.
Triton, aussi connu comme Trisis, a été conçu spécifiquement pour cibler un type particulier de système de contrôle industriel (ICS), à savoir Triconex systèmes instrumentés de sécurité (SIS) contrôleurs développés par Schneider Electric.
Le malware est inhabituel dans le fait que le code met l’accent sur ces systèmes, à cause des arrêts du process et de manipuler des systèmes d’urgence.
Il ya seulement une poignée d’exemples d’autres industriels spécifiques au système des logiciels malveillants, tels que Stuxnet et Industroyer, variantes de logiciels malveillants qui ont ciblé le nucléaire et les systèmes de pouvoir dans le passé.
Triton a d’abord été repéré en 2017, mais il semblerait que les opérateurs de système peut avoir été actif depuis 2014. Le malware a été utilisé à l’encontre d’une usine pétrochimique détenue par Tasnee en Arabie Saoudite.
Symantec chercheurs croient que l’attaque était destinée à provoquer des dégâts physiques au site industriel. L’attaque a été proche de causer de graves dommages à l’installation, mais de Triton activités, par inadvertance, a fermé l’usine en raison de sa manipulation du SIS systèmes qui leur fit entrer un échec de l’état de sécurité.
Des chercheurs de FireEye a déclaré mercredi que cette tentative a échoué, n’a pas dissuadé le groupe, qui a été découverte à un nouvel emplacement.
Le nom de la société n’a pas été révélé. Cependant, FireEye a dit que la victime était un “critique ” infrastructure” et que le Triton opérateurs étaient présents sur la victime systèmes de près d’un an. FireEye est Mandiant cyberforensics bras a été impliqué dans l’enquête de l’intrusion, mais l’entreprise est restée muettes quant à ce que les dommages-si tout — a été réalisé.
Voir aussi: Industroyer: Un regard en profondeur sur le coupable derrière l’Ukraine réseau électrique du blackout
Cependant, la cybersécurité, la firme a publié quelques nouveaux détails concernant le Triton du groupe d’infiltration tactique.
Après s’implanter dans les entreprises du réseau, le Triton groupe a mis l’accent sur l’obtention de l’accès à l’aspect opérationnel du système industriel. La menace acteurs n’ont pas volé toutes les données, prendre des captures d’écran, ou l’utilisation de toute forme de keylogger; au lieu de cela, ils se sont concentrés sur les déplaçant latéralement à travers le système, le maintien de la persistance et de réseau performant de reconnaissance.
La menace du groupe de la trousse d’outils comprend à la fois génériques et des outils personnalisés, qui ont été inversées afin d’éviter un logiciel antivirus et de faciliter les différentes étapes de l’attaque, par exemple, les pirates passé à la coutume des portes dérobées dans l’informatique et l’OT réseaux de la victime juste avant d’accéder à un SIS de l’ingénierie poste de travail.
Mimikatz du public, un outil, et SecHack, un outil personnalisé, sont tous deux utilisés par les pirates pour des informations d’identification de la récolte. Triton opérateurs de renommée leurs fichiers apparaissent légitimes, comme après Microsoft fichiers de mise à Jour, et deux webshells et les tunnels SSH pour effectuer leurs activités clandestines et à déposer des outils supplémentaires.
CNET: Votre hôtel confirmation de l’enregistrement pourrait vous exposer à des risques
“Une fois que l’acteur, de l’accès aux ciblées SIS contrôleurs, ils semblaient concentrer uniquement sur le maintien de l’accès tout en essayant de déployer avec succès Triton,” FireEye dit.
Triton opérateurs gardé leurs activités hors temps de travail afin de limiter le risque d’être découvert.
Les pirates d’accéder à la victime du système de contrôle distribué (DCS), qui aurait fourni des informations sur l’exploitation et les processus. Toutefois, le groupe a ignoré cela et uniquement centré sur le SIS contrôleur.
Alors que le Triton malware lui-même ne semble pas avoir été déployé sur le système de la victime, de trouver des traces de la piratage groupe derrière les logiciels malveillants dangereux aurait certainement été un sérieux motif de préoccupation, surtout compte tenu de la groupe de l’histoire du passé.
FireEye a déjà lié à Triton de la Russie Centrale de l’Institut de Recherche Scientifique de la Chimie et de la Mécanique, laboratoire de recherche, basée à Moscou, avec “une grande confiance.”
TechRepublic: Vulnérabilité dans Verizon Fios Quantique Passerelle permet à des attaquants d’obtenir les privilèges root
“Il y a souvent un point singulier de la communauté de la sécurité sur ICS malware en grande partie en raison de son caractère novateur et le fait qu’il existe très peu d’exemples trouvés dans la nature,” FireEye dit. “Nous encourageons les ICS propriétaires d’actifs à effet de levier les règles de détection et les autres renseignements inclus dans le présent rapport, pour chasser l’activité liée à ce que nous croyons, il ya une bonne chance que la menace de l’acteur a été ou est présent dans d’autres réseaux ciblés.”
FireEye a communiqué une liste d’indicateurs potentiels que la menace du groupe est connecté dans le milieu industriel et l’encourage admins pour garder un œil sur tous les fichiers suspects ou des activités liées à eux.
Précédente et de la couverture liée
GreyEnergy: Nouvelle campagne de malware cible les infrastructures essentielles des sociétés
Les chercheurs à trouver de Stuxnet, Mirai, WannaCry tapi dans industrielle des lecteurs USB
LockerGoga: Ce n’est pas tout au sujet de la rançon
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données