研究人员警告,Triton工业恶意软件集团仍然活跃
Adobe杀了'ipad不是富有成效'的故事
内阁办公室寻求首席数字信息官
本周我们了解苹果车的8件事
COLT选择思科来简化5G回程服务
是时候安装9月的Windows和Office补丁了
Capita系统的技术错误将Barnet议员的员工从口袋中展开
四个在10个领先的银行未能在电子邮件欺诈保护中失败
Arcserve 9000备份设备提供一站式灾难恢复
苹果抓住了权力
关于Google最新的SmartWatch重新启动的有趣的事情
会区块关常常的GDPR吗?(是和否)
WWDC:AltConf宣布伦敦,圣何塞替代开发人员会议
微软为智能通信奠定了愿景
Canalys真的,企业中的Apple真的很好
Bournemouth和Northampton旁边是CityFibre宽带升级
谷歌正在鼻子下创建自己的亚马逊
Microsoft Yanks越野Win101809升级,在其唤醒中留下了zapped文件
Apple坚持开发人员将他们的隐私承诺增加
全光纤宽带启动Toob获取7500万英镑的资金回合
Google将AI功能添加到G套件,包括“智能回复”,包括Hoogouts Chat
在患者记录Blunder后,人均NHS合同正在审查
Singtel和Nus索赔量子突破
Firefox将Ape Chrome并在2018年添加反广告过滤器
以下是Apple的MacOS Mojave和iOS 12发布日期
英特尔表示,新的固件修补程序触发哈尔韦尔和Broadwell系统的重新启动
芬兰博彩公司PAF迁移到云端
微软的免费分析服务嗅探ectdown,幽灵补丁状态
Apple已成为企业的人力资源问题
政府数字领导人接受薪水提升
为什么Windows 7更新越来越大
公众更加了解隐私滥用和不道德的技术
关于Apple iPhone 2018公告的思考
V.Pharma递送Quantum的数据域并削减备份成本
Win10(1803)宣布“完全可用”,在公交车下投掷Windows更新。
亚马逊的回声隐私Flub对它具有很大的影响
Slack的企业网格获取安全性和合规性增强功能
亚马逊拒绝禁止禁止面部识别科技销售到政府机构
是时候关闭Windows自动更新和支架进行影响
Allo,再见:关于谷歌的最新消息传递枢轴的最疯狂的事情
Mingis关于Tech:来自Android Pie的3大型外卖
想要更多的数字工作场所?你必须克服对技术的抵制
Pivot3到目标Azure,Google云和增强AI / ml
PM可能批准华为,尽管反对,但在5G网络中使用
Microsoft计划销售2020年的Windows 7支持
2018年协作趋势:期待微软团队获得地面,企业拥抱团体聊天
Norsk Hydro网络攻击成本估计高达4100万美元
Kubernetes如何简化Bet365的软件部署
GCHQ导演说,NCSC扩大智力分享
WD转向单个应用程序门户网站,为工人创建“移动时刻”
您的位置:首页 >政策法规 >

研究人员警告,Triton工业恶意软件集团仍然活跃

2021-08-26 09:44:26 [来源]:

研究人员警告,在另一个关键基础设施设施中检测到靶向工业控制系统(IC)的TRITON恶意软件系列后面的网络攻击组,并可能存在于其他临界基础设施。

纽约时报的纽约时报,Triton Malware在沙特阿拉伯袭击沙特阿拉伯的一家石油化工厂,导致伊朗可能落后于袭击事件的初步猜测。

但是,安全公司Fireeye的研究人员随后与俄罗斯联系起来,现在报告他们已经发现并响应了Triton组在不同但未命名的关键基础设施的侵扰。

除了氚核集团的“入侵活动”之外,研究人员表示,他们已经发现了在受损设施的“新自定义工具集”的证据。

研究人员已发布妥协,TTPS [工具,技术和程序]指标,并在博客文章中检测,敦促工业控制系统(ICS)资产所有者使用这些,以改善其在其网络中的相关活动并寻找相关活动。

研究人员表示,TRITON组使用数十种习惯和商品入侵工具来获得并维持目标的IT(信息技术)和OT(操作技术)网络的访问权限,包括凭据收集的工具,远程命令执行,创建后门和生成命令和控制域。

他们说,Triton的自定义工具经常反映了商品工具的功能,并似乎是通过专注于防病毒逃避的开发。在某些情况下,TRITON使用具有相同功能的定制和商品工具,例如凭据收获。

研究人员表示,ICS攻击通常是衡量的,因为攻击者需要时间了解目标的工业流程并构建自定义工具。

“这种攻击也不例外。在获得对安全仪表系统(SIS)工程工作站的访问之前,演员在目标网络中存在近一年。在此期间,他们似乎优先考虑运营安全性,“研究人员说。

在这种最新的入侵中,他们表示,在企业网络上建立初始立足之后,Triton专注于大部分努力获得对OT网络进行侦察目的的访问,并使用多种技术来隐藏其活动,涵盖他们的曲目和阻止法取消检查他们的工具和活动。

虽然Triton在分布式控制系统(DCS)上获得了立足点,但他们没有使用该访问来了解工厂操作,exfiltrate敏感信息,用DCS控制器篡改,或操纵该过程。

“然后他们获得了对SIS工程工作站的访问。从这一点前,他们专注于他们的大部分努力,使用Triton攻击框架来提供和改进后门有效载荷,“研究人员说。

基于对演员的定制入侵工具的分析,研究人员认为Triton集团从2014年开始运营。

事实上,这些工具中的一些之前没有遇到过,尽管有几岁,但该组织已经表现出对业务安全的强烈兴趣,导致研究人员得出结论,可能还有其他,仍然是未被发现的损害的工业环境Triton活跃或仍然存在的地方。

“由于其新的性质,常见的性质和野外发现很少有少数例子,通常会有来自ICS恶意软件的奇异焦点。研究人员表示,虽然这种注意力有所有用,但我们认为捍卫者和事件响应者应更加关注所谓的“导管”系统时,旨在识别或停止以ICS为重点的入侵。

在2018年11月的咨询中,英国网络网络安全中心(NCSC)表示,Triton代表了ICS攻击方法的进一步演变。

“随着IC越来越多地,威胁演员将继续开发他们的能力来利用它们。咨询说,这种事件强调了实施有效缓解方法的组织的重要性。

尽管对工业控制系统的网络威胁不太可能被淘汰,但以色列Barak,Ciso在安全公司Cyber​​ ay中表示,使用这种系统可以最小化和管理对关键基础设施的风险。

“Cyber​​ Aeron的2018年ICS HoneyPot使我们能够遵守攻击该行业的威胁演员攻击网络,以及我们学到的知名度是宝贵的。总体而言,对关键基础设施的威胁是安全产品和从业者非常善于打击的东西。通过关注卫生和最佳实践,运行ICS的公司尽管他们面临的威胁,但运行ICS可以大大降低风险,“他说。

然而,巴拉克说,大多数国家仍然容易受到关键基础设施的网络攻击,因为系统通常是旧的且差不多的修补。

“电网互连,从而容易受到级联故障的影响。如果攻击者知道哪种变电站采取脱机或导致浪涌,则可以在不进行大量入侵的情况下取下栅格的重要部分。

“超越发电,有重大的本地化效果,黑客可以通过污水/水处理,工业化学生产或运输系统进行。再次,勤勉,持久性和改善的安全卫生可以大大减少风险,“巴拉克说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。