Специалисты компании Dragos обнаружили, что группировка Xenotime, ответственная за атаки малвари Triton (он же Trisis), вновь активна и «изучает» энергосети в США и Азиатско-Тихоокеанском регионе.
Напомню, что Triton был обнаружен в конце 2017 года. Тогда сообщалось, что малварь используется для атак на контроллеры систем инструментальной безопасности Triconex (Triconex Safety Instrumented System, SIS) производства Schneider Electric. Эти решения нужны для мониторинга различных процессов на фабриках, предприятиях и так далее, и безопасного восстановления или завершения работы оборудования в случае возникновения каких-либо сбоев и потенциально опасных ситуаций.
Ранее Xenotime атаковала объекты критической инфраструктуры, включая саудовское предприятие нефтехимического профиля, принадлежащее компании Tasnee. Более того, в конце 2018 года исследователи FireEye сделали вывод, что малварь каким-то образом связана с Россией и ФГУП «Центральный научно-исследовательский институт химии и механики» (ЦНИИХМ).
Теперь аналитики Dragos предупредили, что с конца 2018 года Xenotime стала интересоваться энергетическими сетями в США и других регионах. Компания обнаружила около 20 утилит хак-группы (в основном в США), и хотя улики свидетельствуют о том, что пока инфраструктура ни одного из предприятий не была скомпрометирована, и хакеры лишь проводят разведку, специалисты Dragos все равно считают эту новость крайне тревожной. Дело в том, что группировка явно готовится к дальнейшей кибератаке.
Злоумышленники действуют разными методами, но в целом используют те же тактики, которые применяют против нефтегазового сектора. Порой они используют credential-stuffing атаки, то есть применяют учетные данные украденные ранее, в других случаях сканируют сети, тщательно каталогизируют различные компьютеры, маршрутизаторы и другие устройства, подключенные к ним, а также составляют списки доступных портов.
Источник: xakep.ru
