Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредонос для АСУ ТП Triton продолжает атаковать промышленные предприятия

10/04/19

hack45Мощная вредоносная программа Triton для компрометации автоматизированных промышленных систем, получившая известность после атак на нефтехимический завод в Саудовской Аравии несколько лет назад, использовалась в кампании, направленной на еще одно предприятие критической инфраструктуры, сообщили специалисты FireEye. Они не раскрыли информацию ни о названии пострадавшей компании, ни о том, в какой стране она находится.

Вредонос Triton, также известный как Trisis и HatMan, был обнаружен в августе 2017 года после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке. Triton предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способен вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.

Согласно отчету, проникнув в сеть предприятия, злоумышленники выжидали почти год, незаметно проводя рекогносцировку и только затем использовали доступ к автоматической системе функциональной безопасности (Safety Instrumented System, SIS). В рамках кампании атакующие применяли как общедоступные инструменты (например, фреймворк Mimikatz), так и собственные средства, в частности, программы SecHack (для сбора учетных данных) и NetExec (предназначена для продвижения по сети), а также бэкдоры с использованием утилит Cryptcat и Plink.

Для снижения риска обнаружения злоумышленники проводили манипуляции с контроллерами в нерабочие часы. Кроме того, они переименовывали вредоносные файлы, имитируя легитимные приложения. Например, один из файлов назывался trilog.exe по аналогии с официальным приложением Schneider Electric.

Судя по датам компиляции инструментов, группировка, организовавшая атаку, активна по меньшей мере с 2014 года. При этом эксперты отмечают, что до настоящего времени не встречали данные инструменты, несмотря на то, что они существуют уже несколько лет. По мнению исследователей, на счету у злоумышленников может быть уже несколько подобных атак, помимо вышеописанной.

Напомним, ранее специалисты компании Chronicle обнаружили новый C&C-компонент печально известного червя Stuxnet, указывающий на причастность к его созданию разработчиков вредоносной платформы Flowershop, использовавшейся в атаках на организации в странах Ближнего Востока в период с 2002 по 2013 годы.

Темы:ПреступленияFireEye
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...