研究人员报道,针对石油和天然气行业设施的入侵背后的黑客组织已开始对和亚太地区电网的工业控制系统(ICS)进行探测。 名为Xenotime的组织以Triton恶意软件而闻名,该恶意软件曾在网络攻击中使用,据报道,该攻击使2017年位于中东的一家工业工厂瘫痪。
Dragos和电力信息共享与分析中心(E-ISAC)的安全研究人员和分析师自2018年末以来一直在追踪该组织的活动。他们发现,该组织已将其目标扩展到了至少20家电力公司。 ,扫描并枚举目标组织的远程登录门户及其网络资源中的漏洞。
[趋势科技研究:MQTT和CoAP:IoT和IIoT通信协议中的安全性和隐私问题]
尽管这些活动没有损害工业系统并造成电力中断,但它们是预示着Xenotime下一步行动的危险信号。 实际上,该小组的活动并不是孤立的。 去年4月,FireEye的研究人员报告了针对另一家工业设施的安全仪表系统(SIS)的同一Triton aka Trisis恶意软件。
[阅读:提高食品生产行业的安全性:消除物联网中的风险和威胁]
Xenotime的恶意软件通过访问和修改目标SIS来工作。 在工业环境中,SIS可以是软件和硬件的组合,可以作为紧急措施,将遭受操作问题的关键系统置于“安全模式”,以避免进一步的不利影响。 通过访问并篡改工业设施的SIS,黑客可以有效地破坏其运营,甚至造成人身伤害。
就目前而言,德拉戈斯和E-ISAC观察到Xenotime仅执行凭证填充,网络扫描和侦察。 但是,鉴于黑客组织的历史,可以预期将其用于未来的入侵和恶意软件活动。
[阅读:攻击者为何瞄准工业控制系统以及企业可以做什么]
尽管对ICS的网络攻击(无论是出于破坏还是网络活动)不是新事物,但它们仍将是威胁领域中的长期问题。 例如,趋势科技研究人员一直看到工业物联网(IIoT)中的网络安全漏洞-从水和能源行业,制造业,5G网络和数据架构中的脆弱关键基础设施到工业遥控器。
实际上,企业环境中ICS或IIoT设备的普及程度不断提高,应促使组织加强针对Triton或Stuxnet等威胁的安全态势,因为当它们成功部署在暴露或易受攻击的ICS或IIoT上时,可能会造成破坏性或破坏性后果 设备。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
