Triton恶意软件攻击背后的黑客秘密

最近发现的涉及被称为Triton，Trisis和HatMan的恶意软件的威胁组织仍然活跃，针对全球各地的组织和除施耐德电气的Triconex之外的安全系统。

工业网络安全公司Dragos作为Xenotime追踪的演员据信至少从2014年开始出现，但其活动仅在2017年针对中东重要基础设施组织发现后才发现。

据报道，导致网络安全行业发现Xenotime的袭击旨在沙特阿拉伯的一家石油和天然气工厂。它通过零日漏洞特别针对施耐德电气的Triconex安全仪表系统（SIS）。背后的黑客攻击Triton / Trisis

在SIS导致一些工业系统意外关闭之后，目标组织开展了调查并召集了第三方专家，包括Dragos和FireEye。研究人员认为，关机是由攻击者意外造成的。

德拉戈什继续分析最初的Triton / Trisis事件和最近推出更多的攻击磷钇矿。该公司表示，该组织已针对远在中东以外的全球组织。

该安全公司并没有透露目前攻击的任何细节，但它确实注意到，黑客活跃于多个设施，针对除Triconex以外的安全控制器。

一些研究人员认为伊朗背后的攻击，但德拉戈斯没有分享任何关于归因的信息。该公司确实指出，它没有发现Xenotime和其他已知组织之间的任何联系。

“Dragos评估认为，Xenotime打算建立必要的访问和能力，以引起未来可能的破坏性甚至破坏性事件，”该公司在一篇博客文章中写道。“妥协的安全系统在破坏操作之外几乎没有什么价值。该小组创建了一个定制的恶意软件框架和定制的凭证收集工具，但明显的错误配置阻止了攻击的正确执行。随着Xenotime的成熟，该组织将来不太可能犯这个错误。“

Dragos一直在跟踪几个针对工业控制系统（ICS）的威胁行为者的活动。该公司已经为其监管的七个黑客组织中的三个发布了简要报告，其中包括与俄罗斯有关的Allanite，其瞄准美国和英国的电力公司，以及与伊朗有联系的Chrysene，该公司曾袭击中东的ICS网络，英国。