Zero
CNIIHM, Mosca
Immagine: Google Maps
Un russo laboratorio di ricerca è dietro agli attacchi informatici di infrastrutture critiche, tra cui in Arabia stabilimento petrolchimico, secondo un rapporto pubblicato oggi da NOI cyber-società di sicurezza FireEye.
I cyber-attacchi hanno avuto luogo nel 2017 e distribuito un mai-prima-visto il malware ceppo noto come Triton –o Trisis– specificamente progettati per interagire con Schneider Electric Triconex Sistema Strumentale di Sicurezza (SIS) controller
Secondo le relazioni tecniche da FireEye, Dragos, e Symantec, Triton è stato progettato per arrestare un processo di produzione o di consentire SIS-macchinari a controllo a lavorare in un pericoloso stato.
Il gruppo dietro il malware, che FireEye ha tracciato sotto il nome in codice di TEMP.Veles, quasi riusciti, l’anno scorso, quando ha quasi causato un’esplosione in Arabia saudita stabilimento petrolchimico di proprietà Tasnee, una società privata di proprietà Saudita società, secondo il New York Times report.
Il malware origini erano un mistero, quando FireEye scoperto Triton nel 2017 e rimase un mistero anche dopo che il New York Times relazione nel Marzo 2018.
Ma in un rapporto pubblicato oggi, FireEye dice che, a seguito di ulteriori ricerche in incidenti in cui il Triton malware è stato distribuito, è ora in grado di valutare con la “fiducia” che il centro di Ricerca Scientifica dell’Istituto di Chimica e la Meccanica (CNIIHM; ЦНИИХМ), di proprietà del governo tecnico ente di ricerca che si trova a Mosca, è stato coinvolto in questi attacchi.
FireEye relazione non collegare il Triton malware stesso per CNIIHM, ma il malware secondaria ceppi utilizzati da TEMP.Veles e distribuito durante gli incidenti in cui Triton è stato distribuito.
Indizi in questi malware secondaria i ceppi utilizzati per aiutare la distribuzione dei principali Triton payload contenute abbastanza artefatti che hanno permesso ai ricercatori di identificare la fonte.
L’azienda elenca alcuni-ma non tutti-gli indicatori che ha portato i suoi ricercatori per giungere alla conclusione che CNIIHM era dietro lo sviluppo di queste Triton-adiacente ceppi di malware distribuito durante l’Triton attacchi.
PDB percorso per uno dei file contenuti in una stringa che sembra essere un unico manico o il nome utente. Che manico/nome utente appartiene a una Mosca infosec esperto e un ex professore CNIIHM.Le attività malevoli legati alla temperatura.Veles scansioni e le operazioni di monitoraggio provenuto dalla 87.245.143.140, un indirizzo IP registrato CNIIHM.Più Triton-file correlati –che sono stati anche accidentalmente caricato online in dicembre 2017– contenute Cirillico nomi e artefatti.Malware tempi di creazione di file sono coerenti con il normale orario di lavoro specifica il fuso orario di Mosca.
Immagine: FireEye
“Alcune possibilità resta che una o più CNIIHM dipendenti di svolgere l’attività di collegamento TEMP.Veles a CNIIHM senza il loro datore di lavoro di approvazione,” FireEye ha detto oggi. “Questo scenario, tuttavia, è altamente improbabile”.
FireEye dice che sulla base di CNIIHM auto-descritto missione e altre informazioni pubbliche, il laboratorio di ricerca ha avuto entrambi gli strumenti e le competenze per sviluppare questo tipo di malware, ma anche ragioni di farlo a causa dei suoi legami con le varie forze militari russe e delle infrastrutture critiche apparato.
Come per perché la Russia si sarebbe interessato a sabotare un Saudita petrolchimica impianti di potenza, i motivi sono sconosciuti.
Quando l’attacco al Tasnee impianto, venuto alla luce, molti infosec esperti attribuito Triton –senza sostenere la prova– all’Iran di cyber-intelligence apparato.
Tutto è possibile a questo punto, dalla Russia che vogliono destabilizzare la regione del Golfo per CNIIHM affittare il suo cyber-capacità di minaccia esterna attori.
RELATIVE CYBERSECURITY COPERTURA:
Zero-day nel popolare plugin per jQuery sfruttata per almeno tre anniKaspersky dice che ha rilevato infezioni con DarkPulsar, presunto NSA malwareChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1 nel 2020Microsoft JET vulnerabilità ancora aperti agli attacchi, nonostante le recenti patchdi Microsoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNETGitHub avvisi di sicurezza ora il supporto Java e .NET progettiOpen source di web hosting software compromesso con DDoS malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0