五大威胁集团目标工业系统:Dragos

  • 时间:
  • 浏览:45
  • 来源:it300
五大威胁集团目标工业系统:Dragos 根据工业网络安全公司Dragos周四发布的一份报告,至少有五个复杂的威胁组织的活动集中在工业控制系统(ICS)上。

虽然非目标恶意软件并不少见为了进入工业系统,有针对性的攻击也变得越来越普遍。 Dragos目前跟踪五个威胁演员,他们直接攻击ICS或者已经表示有兴趣收集有关这些类型系统的信息。

其中一个团体被安全公司追踪为Electrum。这是2016年12月使用的CRASHOVERRIDE / Industroyer恶意软件背后的演员,导致乌克兰停电。 Electrum与Sandworm团队有关,该团队据信将负责2015年乌克兰停电。两起袭击事件都指责俄罗斯。

尽管自2016年针对乌克兰能源部门的竞选活动以来,它显然没有发起任何重大袭击,但德拉戈斯表示,Electrum继续活跃,有证据表明它扩大了目标。 123]

“虽然过去的ELECTRUM活动专注于乌克兰,但来自低级别持续活动的信息以及该组织与SANDWORM Dragos的联系评估,根据其赞助商的重点,可以将电子'重新授权'到其他地区。 “Dragos在其报告中说道。

Dragos追踪的另一个团伙是Covellite,它与朝鲜的Lazarus集团有联系。研究人员于2017年9月开始观察Covellite,当时它发起针对美国的高度针对性的网络钓鱼活动。S.电网公司。他们后来发现了该组织可能针对欧洲,北美和东亚组织进行的攻击。

与Electrum不同,Covellite尚未使用专门针对工业系统的恶意软件进行竞选。[

Dragos的报告还总结了Dymalloy的活动,Dymalloy是一个在对Dragonfly进行调查时发现攻击的组织,Dragonfly是一名演员,也被称为Crouching Yeti和Energetic Bear。蜻蜓被认为是在俄罗斯境外运营,以其复杂的Havex恶意软件而闻名,最近在美国能源公司中发现了目标控制系统。

Dragos认为Dymalloy没有联系 - 至少不直接 - 对Dragonfly及其工具不如先进作为Havex。然而,黑客确实设法破坏了土耳其,欧洲和北美的ICS组织,获得了对HMI设备的访问权。

专家表示,自2017年初以来,Dymalloy似乎变得不那么活跃,可能是为了响应来自媒体和安全研究人员。

在SecurityWeek的ICS网络安全会议上了解更多

自2017年中期以来,Dragos一直在跟踪一个名为Chrysene的团队,该团体的活动主要集中在北美,西欧,以色列和伊拉克,特别是发电和石油天然气领域的组织。

Chrysene继续活跃,使用了与伊朗相关的网络间谍组织OilRig相关框架的独特变体。和Greenbug。

“而CHRYSENE”恶意软件使用类似工具对相关威胁组进行了显着增强,Dragos尚未观察到此活动组使用的ICS特定功能。相反,到目前为止,所有活动似乎都集中在IT渗透和间谍活动上,所有目标都是与ICS相关的组织,“Dragos说。

值得注意的是,最近发现的被称为Trisis / Triton的恶意软件,这是第一个专门用于破坏安全仪表系统(SIS)的威胁,也被一些研究人员与伊朗联系起来。

Dragos监测的最后一个以ICS为重点的威胁组是Magnallium,它也被联系起来到伊朗根据FireEye关于APT33活动的报告,这家安保公司开始跟踪这位演员。

媒体报道将APT33描述为对ICS和关键基础设施的严重威胁,Dragos的调查显示该组似乎没有任何ICS特定的能力。

“虽然这些组中只有一个证明了通过ICS特定的恶意软件直接影响ICS网络的明显能力,所有人都至少参与围绕ICS环境的侦察和情报收集,“Dragos说。

”这些团体在整个活动中的整体活动保持相对稳定。该公司补充说:

相关:国土安全部警告恶意软件针对工业安全系统

相关:DDoS攻击更可能袭击关键基础设施比APT的

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01