"最强"工控恶意软件Trisis的幕后黑手已扩大攻击目标

2018 年 5 月 28 日 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全5月28日讯工业网络安全公司 Dragos 2018年5月24日披露，"最强"工控恶意软件 Trisis（又被称为 Triton 和 HatMan）背后的黑客组织 Xenotime 初露行动轨迹，目前已扩大攻击目标范围。

Trisis 与黑客组织 Xenotime

Trisis 是首款专门针对安全仪表系统的恶意软件，也首款能远程让民用基础设施进入不安全状态的恶意软件，其工作方式与 Stuxnet 类似，均有能力操纵旋转组件的转速，可能引起工厂关闭或者使人受伤。

Trisis 的厉害之处在于其完整的文件库通过五种不同的编程语言构建，仅能在其瞄准的同款工业设备上测试才能完全了解这款恶意软件。消息人士预测，一支专业的恶意软件开发团队也需要花上一年时间才能开发出与 Trisis 相匹敌的恶意软件，其甚至难倒了美国国家安全局（NSA）的分析师。足以显示出黑客组织 Xenotime 的潜在危险性。

工控系统恶意软件Trisis让安全界“寝食难安”-E安全

曾攻击安全仪表系统（SIS）

Xenotime 黑客组织可能自2014年开始活跃，2017年12月，该黑客组织利用施耐德 Triconex 安全仪表控制系统（SIS，Safety Instrumented System）零日漏洞，攻击中东一家石油天然气工厂，致其工厂停运。

安全仪表系统（SIS）作为硬件和软件控制系统，其主要作用是保护核、油气或制造等工厂的工业进程和设备。SIS 是工厂企业自动控制中的重要组成部分。目前全球有为数不多的几家公司在开发并管理 SIS 系统，包括但不限于艾默生（Emerson）、霍尼韦尔（Honeywell）和日本的横河电机（Yokogawa）。

Xenotime 瞄准全球更多安全系统

工业网络安全公司 Dragos 经过分析后发现，黑客组织 Xenotime 已将目标瞄向全球的组织机构，该公司未透露该组织近期的攻击活动细节，但指出该黑客组织活跃在多个设施中，除了施耐德电气的 Triconex 以外还针对其它的安全系统。

据一名前美国官员透露，美国的工业公司已遭遇该组织发起的攻击，但并未透露最近受影响的系统或工业公司。目前尚不清楚黑客组织 Xenotime 如何成功开发并维护了如此复杂的恶意软件。

Dragos 公司有一定的把握认为，Xenotime 打算建立必要的访问和能力，以在未来引发潜在破坏性、甚至是毁灭性事件。

在沙特阿拉伯油气工厂遭遇的攻击事件中，该组织创建了一个自定义恶意软件框架和定制的凭证收集工具，但错误配置问题触发了安全系统。逐渐成熟的 Xenotime 组织未来犯这样低级错误的可能性将大幅降低。

工控恶意软件Trisis背后的黑客组织Xenotime扩大攻击目标-E安全

已具备黑进安全仪表系统的能力

Dragos 公司威胁情报与分析总监塞尔吉奥·卡尔塔吉拉诺表示，最近几起事件说明，Xenotime 组织已能成功攻击企业的 IT 系统并进入安全仪表系统，Xenotime 正在使用网络钓鱼邮件和所谓的“水坑”网站攻击工业公司的工程师，旨在吸引工程师的注意力，以入侵他们的账号并窃取管理凭证。之后，Xenotime 通常会潜伏数周或数月，横向移动寻找 IT 和 OT 网络之间的缺陷。

工控恶意软件Trisis背后的黑客组织Xenotime扩大攻击目标-E安全