研究人员警告，Triton工业恶意软件集团仍然活跃

研究人员警告，在另一个关键基础设施设施中检测到靶向工业控制系统（IC）的TRITON恶意软件系列后面的网络攻击组，并可能存在于其他临界基础设施。

纽约时报的纽约时报，Triton Malware在沙特阿拉伯袭击沙特阿拉伯的一家石油化工厂，导致伊朗可能落后于袭击事件的初步猜测。

但是，安全公司Fireeye的研究人员随后与俄罗斯联系起来，现在报告他们已经发现并响应了Triton组在不同但未命名的关键基础设施的侵扰。

除了氚核集团的“入侵活动”之外，研究人员表示，他们已经发现了在受损设施的“新自定义工具集”的证据。

研究人员已发布妥协，TTPS [工具，技术和程序]指标，并在博客文章中检测，敦促工业控制系统（ICS）资产所有者使用这些，以改善其在其网络中的相关活动并寻找相关活动。

研究人员表示，TRITON组使用数十种习惯和商品入侵工具来获得并维持目标的IT（信息技术）和OT（操作技术）网络的访问权限，包括凭据收集的工具，远程命令执行，创建后门和生成命令和控制域。

他们说，Triton的自定义工具经常反映了商品工具的功能，并似乎是通过专注于防病毒逃避的开发。在某些情况下，TRITON使用具有相同功能的定制和商品工具，例如凭据收获。

研究人员表示，ICS攻击通常是衡量的，因为攻击者需要时间了解目标的工业流程并构建自定义工具。

“这种攻击也不例外。在获得对安全仪表系统（SIS）工程工作站的访问之前，演员在目标网络中存在近一年。在此期间，他们似乎优先考虑运营安全性，“研究人员说。

在这种最新的入侵中，他们表示，在企业网络上建立初始立足之后，Triton专注于大部分努力获得对OT网络进行侦察目的的访问，并使用多种技术来隐藏其活动，涵盖他们的曲目和阻止法取消检查他们的工具和活动。

虽然Triton在分布式控制系统（DCS）上获得了立足点，但他们没有使用该访问来了解工厂操作，exfiltrate敏感信息，用DCS控制器篡改，或操纵该过程。

“然后他们获得了对SIS工程工作站的访问。从这一点前，他们专注于他们的大部分努力，使用Triton攻击框架来提供和改进后门有效载荷，“研究人员说。

基于对演员的定制入侵工具的分析，研究人员认为Triton集团从2014年开始运营。

事实上，这些工具中的一些之前没有遇到过，尽管有几岁，但该组织已经表现出对业务安全的强烈兴趣，导致研究人员得出结论，可能还有其他，仍然是未被发现的损害的工业环境Triton活跃或仍然存在的地方。

“由于其新的性质，常见的性质和野外发现很少有少数例子，通常会有来自ICS恶意软件的奇异焦点。研究人员表示，虽然这种注意力有所有用，但我们认为捍卫者和事件响应者应更加关注所谓的“导管”系统时，旨在识别或停止以ICS为重点的入侵。

在2018年11月的咨询中，英国网络网络安全中心（NCSC）表示，Triton代表了ICS攻击方法的进一步演变。

“随着IC越来越多地，威胁演员将继续开发他们的能力来利用它们。咨询说，这种事件强调了实施有效缓解方法的组织的重要性。

尽管对工业控制系统的网络威胁不太可能被淘汰，但以色列Barak，Ciso在安全公司Cyber​​ ay中表示，使用这种系统可以最小化和管理对关键基础设施的风险。

“Cyber​​ Aeron的2018年ICS HoneyPot使我们能够遵守攻击该行业的威胁演员攻击网络，以及我们学到的知名度是宝贵的。总体而言，对关键基础设施的威胁是安全产品和从业者非常善于打击的东西。通过关注卫生和最佳实践，运行ICS的公司尽管他们面临的威胁，但运行ICS可以大大降低风险，“他说。

然而，巴拉克说，大多数国家仍然容易受到关键基础设施的网络攻击，因为系统通常是旧的且差不多的修补。

“电网互连，从而容易受到级联故障的影响。如果攻击者知道哪种变电站采取脱机或导致浪涌，则可以在不进行大量入侵的情况下取下栅格的重要部分。

“超越发电，有重大的本地化效果，黑客可以通过污水/水处理，工业化学生产或运输系统进行。再次，勤勉，持久性和改善的安全卫生可以大大减少风险，“巴拉克说。