Мощный вредонос для АСУ ТП продолжает атаковать промышленные предприятия
В рамках кампании атакующие использовали как общедоступные инструменты, так и собственные средства.
Мощная вредоносная программа Triton для компрометации автоматизированных промышленных систем, получившая известность после атак на нефтехимический завод в Саудовской Аравии несколько лет назад, использовалась в кампании, направленной на еще одно предприятие критической инфраструктуры, сообщили специалисты FireEye. Они не раскрыли информацию ни о названии пострадавшей компании, ни о том, в какой стране она находится. Вредонос Triton, также известный как Trisis и HatMan, был обнаружен в августе 2017 года после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке. Triton предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способен вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.
Согласно отчету, проникнув в сеть предприятия, злоумышленники выжидали почти год, незаметно проводя рекогносцировку и только затем использовали доступ к автоматической системе функциональной безопасности (Safety Instrumented System, SIS). В рамках кампании атакующие применяли как общедоступные инструменты (например, фреймворк Mimikatz), так и собственные средства, в частности, программы SecHack (для сбора учетных данных) и NetExec (предназначена для продвижения по сети), а также бэкдоры с использованием утилит Cryptcat и Plink.
Для снижения риска обнаружения злоумышленники проводили манипуляции с контроллерами в нерабочие часы. Кроме того, они переименовывали вредоносные файлы, имитируя легитимные приложения. Например, один из файлов назывался trilog.exe по аналогии с официальным приложением Schneider Electric.
Судя по датам компиляции инструментов, группировка, организовавшая атаку, активна по меньшей мере с 2014 года. При этом эксперты отмечают, что до настоящего времени не встречали данные инструменты, несмотря на то, что они существуют уже несколько лет. По мнению исследователей, на счету у злоумышленников может быть уже несколько подобных атак, помимо вышеописанной.
Напомним, ранее специалисты компании Chronicle обнаружили новый C&C-компонент печально известного червя Stuxnet, указывающий на причастность к его созданию разработчиков вредоносной платформы Flowershop, использовавшейся в атаках на организации в странах Ближнего Востока в период с 2002 по 2013 годы.