Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Раскрыты подробности о вредоносном ПО Triton для АСУ ТП

Раскрыты подробности о вредоносном ПО Triton для АСУ ТП


08.06.2018

Раскрыты подробности о вредоносном ПО Triton для АСУ ТП

Разработчики вредоносного ПО Triton, предназначенного для автоматизированных систем управления технологическими процессам (АСУ ТП) использовали легитимные библиотеки инженерного ПО Tristation для разработки программы, выяснили исследователи безопасности из компании FireEye.

 Triton, также известное как Trisis и HatMan, было обнаружено в августе 2017 года после того, как хакерская группировка, предположительно связанная с иранским правительством, использовала его для атак на критическую инфраструктуру ряда организаций на Ближнем Востоке. Вредоносная программа нацелена на контроллеры Schneider Electric (SIS), которые используют собственный сетевой протокол TriStation.

 Протокол TriStation предназначен для связи между ПК (например, инженерными рабочими станциями) и контроллерами Triconex. Разобраться в работе протокола может быть сложно из-за отсутствия в открытом доступе какой-либо документации. Известно, что он был реализован Schneider через программный пакет TriStation 1131.

 Команда FireEye Advanced Practices Team провела подробный анализ вредоноса для того, чтобы определить, когда и как он был создан. Неясно, как именно нападавшие получили оборудование и программное обеспечение, которые они использовали для тестирования вредоносного ПО. Как полагают исследователи, авторы вредоноса создали компонент связи TriStation не с нуля, а скопировали код из легитимных библиотек.

 В частности, исследователи обнаружили существенное сходство между кодом, найденным во вредоносной программе и кодом из программного файла TriStation tr1com40.dll. У содержащегося во вредоносе файла TS_cnames.pyc TS_names и библиотеки Tridcom.dll совпадают 151 из 268 строк кода.

 "Наблюдение за атаками на системы Triconex может помочь понять принцип разработки других вредоносных фреймворков, таких как TRITON, предназначенных для нападения на контроллеры АСУ и связанные с ними технологии", - заключили эксперты

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.