2017年12月,针对沙特阿拉伯一家石化厂启动了新发现的恶意软件。 该恶意软件本身值得注意,因为它是专门为操纵关键基础结构中的安全系统而设计的。 名为TRITON或TRISIS的恶意软件是第一个故意针对可防止威胁生命的事故和严重的人身伤害的系统。
4月10日,FireEye的安全研究人员发布了一篇博客文章,指出他们发现了TRITON攻击背后该组织的另一次入侵。 目标再次是关键的基础设施。 新的入侵
与2017年的入侵类似,攻击者针对该设施的运营技术(OT),该技术负责监视和管理物理过程和设备。 该报告说,该小组在目标网络中已经存在了将近一年,然后才可以使用安全仪表系统(SIS)工程工作站,但是他们没有参与传统的活动或数据泄露。 相反,攻击者专注于网络侦察,横向移动以及在目标环境中保持存在。 一旦获得对SIS工程工作站的访问权限,他们便会专注于部署TRITON。
自定义和通用工具被策略性地用来帮助攻击者避免使用安全软件并掩盖其行动。 他们还使用了不同的技术来逃避检测-他们模仿了合法的管理员活动,重命名了文件以使其看起来合法,并采用了其他策略。
FireEye的报告包含有关该小组的TTP和自定义工具的详细信息。 他们还发表了鼓励其他人从事与TRITON相关的活动的声明:“我们鼓励ICS资产所有者利用此报告中包含的检测规则和其他信息来寻找相关活动,因为我们认为威胁行为者有很大的机会或 存在于其他目标网络中。” 回顾TRITON恶意软件 如上所述,TRITON的设计目标是一种工业控制系统(ICS),特别是Triconex SIS控制器。 在2017年,攻击者故意针对SIS系统使用了恶意软件并关闭了关键基础设施站点的操作。 据报道,行动者在基于Windows的工作站上部署了TRITON,希望对SIS控制器进行重新编程。 如果控制者受到威胁,攻击者可能会操纵SIS控制的所有设备或过程的安全状态,这是非常危险的情况。
该发现也很重要,因为这些类型的安全系统已在不同行业的许多关键基础设施站点中使用。 它们可以防止出现不安全的情况; 例如,如果压力阀达到不安全阈值,SIS将自动关闭阀以防止损坏和伤害。 对于运输系统,化工厂,制造工厂以及许多其他设施,它们是重要的防线。 保护ICS系统
像SIS这样的工业控制系统现在很普遍,从办公楼的冷却系统到庞大的制造工厂无处不在。 此外,组织越来越依赖于这些系统来提高生产力并有效地管理重要的操作流程。 因此,它们是重要的目标-对这些关键系统的成功攻击可能会严重影响设施的运行甚至损坏它。 演员可能会强制关机,破坏设备或窃取知识产权,甚至造成重大的健康和安全风险。
对ICS的攻击通常始于侦察,然后是使用战术在目标网络中站稳脚跟。 攻击者将利用ICS的所有可能漏洞和特定配置来启动恶意软件。 利用这些漏洞后,攻击者可以停止操作,更改功能或操纵现有控件。 可以利用各种类型的ICS漏洞,请在此处找到详细列表。
防止ICS攻击需要分层和量身定制的安全性。 组织应涵盖确保其特定的OT环境安全的基础知识,并进行适当的调查,更新和维护。 拥有最佳实践至关重要。 在日常运营中,还必须实施适当的安全策略。
组织的其他最佳做法: 使用Purdue模型进行控制分层来应用网络分段。 评估ICS系统以彻底识别不同种类和级别的风险,然后安装相应的防护措施。 评估外部合作伙伴关系和共享资源,确保IT团队参与设计协作网络环境的初始规划和开发阶段。 通过技术步骤和非技术步骤来实施针对内部威胁的防护措施。 获得专门针对ICS和SCADA的网络和设备安全解决方案。 单击该链接可获取有关ICS基本防御策略的更详细的报告。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
