fireeye:TRITON是俄罗斯搞的!

    Triton,Trisis和HatMan恶意软件是俄罗斯政府支持的研究机构(CNIIHM)搞的。

针对中东关键基础设施组织的工业控制系统(ICS)的Triton攻击于2017年12月曝光。该恶意软件针对施耐德电气的Triconex安全仪表系统(SIS)控制器,包括使用零日漏洞,专家是在黑客无意触发进程关闭后被发现的。几家安全公司对17年的入侵活动做了分析,这里有份报告可供参考。

FireEye报告中表示,已经发现了Triton入侵之间的强大联系 :

  1. 测试文件中包含PDB的路径和特殊字符串将调查人员指向莫斯科一个参与是CNIIHM教授的个人的昵称;
  2. 专家还发现,俄罗斯研究CNIIHM注册的一个IP地址与Triton有关;
  3. 样本中语言西里尔文和时区与俄罗斯相关;
  4. 另外,值得一提的是CNIIHM的知识和人员具备开发Triton恶意软件的能力,它拥有专门研究关键基础设施保护和武器及军事装备开发的研究部门,并与广泛的其他组织合作,包括计算机科学,电气工程,国防系统和信息技术。

TRITON攻击者运行时间的热图,以UTC时间表示

CNIIHM能力

参考:https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html

https://dragos.com/blog/trisis/TRISIS-01.pdf

发表评论

电子邮件地址不会被公开。 必填项已用*标注