TRITON攻击者在另一个关键基础设施中被发现

火眼研究人员周三透露,最初发现使用定制TRITON框架的攻击者将目标对准了另一个关键基础设施。

TRITON攻击者

尽管自从至少2014年以来它们似乎一直很活跃,但是很可能他们已经设法访问了其他目标环境,并且可能仍存在于其中一些环境中。

关于TRITON

早在2017年首次检测到并进行分析时,TRITON(aka TRISIS)攻击框架就非常值得注意:专门针对施耐德电气的Triconex安全仪表系统(SIS)设计,在导致工厂自动关闭工业流程时被检测到沙特阿拉伯的一家石化厂。

当前未知谁创建了谁,谁在使用此自定义攻击框架(尽管FireEye 提出理由 因为俄罗斯政府拥有的研究所可能是创造者)。但是,有一点可以肯定:他们不是普通的黑客或犯罪分子。

创建攻击框架所需的技术资源建议资源丰富的民族国家参与者。另外,在最初的攻击中,它在获得对SIS系统的访问权限后不久就进行了部署,这意味着创建者已经预先构建并测试了该工具,这意味着他们可以访问未广泛使用的硬件和软件。

“TRITON还设计为使用专有的TriStation协议进行通信,该协议尚未公开记录,这表明对手对该协议进行了独立的反向工程,” 火眼 researchers 指出 当时。

It’并非全部关于TRITON框架

火眼研究人员没有透露TRITON是否在这次最新发现的入侵中实际部署,以及是否导致生产流程中断。

但是他们渴望给防御者和事件响应者留下深刻的印象,它们在尝试识别或阻止以ICS为重点的入侵时,需要更加关注位于IT或OT网络中的IT系统。

“攻击者通常会在大多数(即使不是全部)攻击生命周期中将其留在IT系统中,”他们指出,并说’最好在攻击生命周期中尽早阻止攻击者。

另外,可以利用许多现有的安全工具和服务来防御和寻找这些工具和服务。“conduit” systems.

寻找的东西

例如,在最近的一次攻击中,威胁行为者使用了商品工具和自定义工具的组合,当他们似乎在努力抗病毒检测或处于入侵的关键阶段时,切换到后者。

TRITON攻击者

“在公司网络上建立起最初的立足点之后,TRITON演员将他们的大部分精力集中在获得对OT网络的访问上。他们没有展示通常与间谍活动有关的活动,例如使用按键记录器和屏幕截图抓取程序,浏览文件和/或泄露大量信息。他们使用的大多数攻击工具都专注于网络侦察,横向移动以及在目标环境中保持存在,”研究人员分享了。

演员尽其所能使他们的存在不被察觉:他们重命名了文件,使它们看起来像合法文件,通常删除了删除的攻击工具,执行日志,准备进行渗透的文件,等等。

而且,当他们获得对目标Triconex SIS控制器的访问权限时,他们似乎只专注于维护访问权限,同时尝试成功部署TRITON。

“参与者在分布式控制系统(DCS)上立足,但没有利用该访问权限来了解工厂操作,泄露敏感信息,篡改DCS控制器或操纵过程,”研究人员指出。

在SIS工程工作站上,他们专注于使用TRITON攻击框架交付后门有效负载,重命名恶意文件,并在下班时间与目标控制器进行交互(以减少工人发现其行为的机会)。

演员在这个未命名的目标中’在访问SIS工程工作站之前已经有近一年的时间了。在所有的时间里,他们的存在没有被注意到。

因此,很可能还有其他目标尚未发现TRITON演员’的入侵,所以FireEye 已经发表 危害指标,检测规则以及识别其(和其他潜在攻击者)证据的技巧’) activities.

分享这个