来自Dragos的安全研究人员观察到,以高效恶意软件攻击而闻名的黑客组织Xenotime已经扩大了其重点,现在正在探索电网的可能入口点。
Xenotime以其在2017年分发“Triton”恶意软件而闻名,该恶意软件针对工业机械和物联网设备,导致它们运行不安全,对设备造成物理损坏并关闭生产线。
Dragos几个月来一直在跟踪Xenotime的活动,尽管该集团已经成为石油和天然气行业的目标,但最近向电力行业的扩张表明,在打破关键基础设施方面需要进一步投入时间和资源。
研究人员表示,进行这种规模探测所需的资源数量以前限制了能够进行此类攻击的威胁演员数量,但成功也引起了其他方面的兴趣。
“高资源需求以前将此类袭击限制在少数潜在对手,但随着越来越多的参与者看到关键基础设施的价值和兴趣 - 而那些已投资的人看到了他们行为的红利 - 威胁形势也在增长,”Dragos说。
由于该集团在2月份转向电力部门,因此认为探测器未成功或导致任何停电,但Dragos强调了解该集团所有工业控制系统(ICS)运营商方法的重要性。
“防御复杂,不断扩大的威胁的一个关键因素是理解威胁行为和方法,而不仅仅是妥协的指标,”它说。
Xenotime对电网的扫描不应该被认为是一个完全成熟的网络攻击,通过探测网络并寻找切入点,可以看作是“试水”的尝试,看看网络中的弱点在潜在发动全面攻击之前说谎。
虽然尚未采取任何恶意行动,但Xenotime已经证明能够发动破坏性攻击的能力应引起关注,并且还可以洞察未来的威胁形势,因为黑客不仅仅是财务回报。
“黑客为许多动机和目标而工作。那些有利可图的人寻求最少投资回报,”Cybereason首席安全官Sam Curry说。“那些没有利润的人要么想要泼水,要么电力不足,或者他们想要通过其他手段扩大政治的选择。但是你把它分开,电网对黑客很有吸引力。”
Dragos表示,到目前为止观察到的活动与攻击者在ICS基础设施上发起网络攻击之前所做的教科书是一致的。除了一般的网络侦察之外,Dragos还观察了凭证填充的事件,以尝试进行身份验证并使用被盗的用户名和密码强制进入用户帐户。
“最终,由于该实体愿意破坏ICS环境中的基本过程安全,将生命和环境置于极大的风险之中,Xenotime扩展到另一个ICS垂直行业是非常令人担忧的,”Dragos说。
Xenotime最引人注目的攻击是分发一种名为“Triton”的恶意软件,迫使中东的一个复杂的石油和天然气设施关闭。
恶意软件导致工业机械不安全地运行到可能严重损害人类操作员的程度,因此它被关闭,最终整个设施停止运营。
恶意软件影响安全仪表系统(SIS)控制器,设计用于调节安全机械的设备,如果检测到故障,则SIS控制器可安全地使机器脱机。
人们认为恶意软件的设计是为了重新编程SIS控制器并迫使它在不安全时允许机器继续运行,这可能导致机器完全破坏甚至对人类造成实际伤害。