美国财政部今天宣布对俄罗斯一家研究机构实施制裁,原因是该机构参与了Triton的开发,Triton是一种旨在攻击工业设备的恶意软件菌株。
今天对俄罗斯联邦FGUP中央化学与力学科学研究院(又称CNIIHM或TsNIIKhM)国家研究中心实施制裁。
2018年10月发布的一份火眼(FireEye)报告称,CNIIHM可能是Triton恶意软件的作者。
Triton恶意软件,也称为Trisis或Hatman,是一种恶意软件,专门针对特定类型的工业控制系统(ICS)设备-即施耐德电气Triconex安全仪表系统(SIS)控制器。
根据来自火眼(FireEye)、德拉戈斯(Dragos)和赛门铁克(Symantec)的技术报告,恶意软件是通过钓鱼活动分发的。一旦它感染了工作站,它就会在受害者的网络上搜索SIS控制器,然后尝试修改控制器的设置。
研究人员表示,Triton包含的指令可能会关闭生产流程,或者允许SIS控制的机器在不安全的状态下工作,从而造成爆炸风险,并给人类操作员和他们的生命带来风险。
该恶意软件首次被发现是在2017年,当时它在沙特私营公司塔斯尼(Tasnee)拥有的一家沙特石化工厂的一次入侵中被成功使用,当时它几乎导致爆炸。
自那以后,该恶意软件已被部署到其他公司。此外,美国财政部今天在一份新的新闻稿中表示,恶意软件(称为TEMMP.Veles或Xenotime)背后的组织也已被发现扫描和探测美国至少20家电力公用事业公司的漏洞。
今天的制裁禁止美国实体与CNIIHM接触,并扣押该研究所在美国的任何资产。
国务卿史蒂文·T·姆努钦(Steven T.Mnuchin)表示,俄罗斯政府继续从事针对美国和我们盟友的危险网络活动。本届政府将继续积极保卫美国的关键基础设施,使其免受任何企图破坏它的人的伤害。
这种制裁方式意义重大,诚实地说,对于那些参与有史以来第一次故意试图杀害民用基础设施中的人的网络攻击的人来说,这是完全合适的。#TRISIS#TRITON https://t.co/dVzAn0kusq。
-罗伯特·M·李(@RobertMLee)2020年10月23日。
今天,财政部对俄罗斯国家支持的黑客组织的制裁结束了地狱般的一周。周一,美国司法部对沙虫组织的六名黑客提出指控,据信他们创造了NotPetya,KillDisk,BlackEnergy和奥林匹克·Destroyer恶意软件。
周四,美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)曝光了俄罗斯黑客组织活力熊(Energy Bear)最近的一次黑客行动。
同一天,欧盟还对两名俄罗斯情报官员实施制裁,原因是他们在2015年德国议会黑客事件中扮演的角色。
但正如几位安全研究人员今天在Twitter上指出的那样,在财政部宣布这一消息后不久,美国可能没有道德制高点,主要是因为美国在2010年通过研究和部署针对伊朗核项目的Stuxnet恶意软件,率先对工业系统发动了攻击。
They…。呃…。财政部意识到,我们在这里并没有真正站稳脚跟的制高点,…。对吧?*咳嗽*Stuxnet*咳嗽*。
-MikeTalonNYC(@mikeTalonNYC)2020年10月23日