据一家安全公司称,一个被描述为对工业系统“最危险的威胁”的黑客组织对美国及其他地区的电网引起了密切关注。
据安全公司德拉戈斯(Dragos)称,该黑客组织被认为是对沙特阿拉伯一家石化厂的工业控制系统(ICS)攻击的幕后黑手,目前显然正在调查包括美国电网在内的全球更多潜在受害者。
德拉戈斯说:“ 对ICS的最危险威胁是新的目标。” “这种向新的垂直领域的扩展说明了这种趋势,对于其他以ICS为目标的对手来说,这种趋势可能还会继续。”
这个特殊的黑客组织之所以值得注意,是因为它涉及到一个事件。2017年底,有黑客披露,沙特阿拉伯一家石化厂的工业控制系统感染了恶意软件 -Triton或Trisis-该恶意软件旨在干扰工业安全系统。
该恶意软件针对控制紧急关闭功能的系统,安全公司警告说,攻击者正在开发可造成物理损坏和潜在关闭操作的功能。当时分析家警告说,这一活动与一个准备袭击的民族国家是一致的。安全公司FireEye后来的分析将恶意软件与俄罗斯国有研究实验室联系在一起。
FireEye在四月还表示,在另一家未具名的公司的系统上也发现了相同的恶意软件。现在,德拉戈斯警告说,该恶意软件背后的组织– Xenotime –在此前仅专注于石油和天然气之后,一直在探索美国和亚太地区的电力网络。
德拉戈斯说:“从2018年末开始,Xenotime开始使用与该组织针对石油和天然气公司的经营类似的策略,对美国及其他地区的电力公用事业组织的网络进行探测。”
德拉戈斯说,2017年对沙特阿拉伯石油和天然气设施的攻击表示对ICS的攻击升级,因为该恶意软件针对安全系统,旨在造成生命或财产损失。该公司表示,自那次攻击以来,黑客组织已将其业务扩展到中东以外的石油和天然气公司,并表示该组织在2018年损害了几家ICS供应商和制造商。
德拉戈斯说,自2017年以来,黑客组织的活动包括对潜在受害者的大量外部扫描和研究,以及针对北美和欧洲公司的外部访问尝试。
德拉戈斯说,今年2月,它发现了试图收集与美国和亚太地区电力公司有关的信息的尝试。
该公司表示:“这种行为可能表明该活动组织正在为进一步的网络攻击做准备。” 德拉戈斯说,它已经看到尝试使用以前被盗的用户名和密码列表来试图强迫进入目标帐户的尝试。但它也表示,针对电力公司的事件均未导致成功入侵。
德拉戈斯说,该组织对电力公司运营感兴趣的证据“由于该对手愿意损害过程安全性而引起了广泛关注”。
这家安全公司表示,黑客组织的大部分活动都集中在初始信息收集和访问操作上,这些信息是后续ICS入侵操作和未来攻击所必需的。但它也说,没有证据表明该组织实际上有能力对电力公司的业务进行破坏性或破坏性的攻击。
德拉戈斯说,运行工业控制系统的组织应该为潜在的破坏和破坏场景做准备。它说,安全团队可以做的最重要的事情就是提高他们对ICS网络活动的认识。公司还应该研究可解决安全仪表系统完整性潜在损失的方案,例如让事件响应小组处理呼叫,配置和过程数据,以与可能受损的设备进行比较,并在发生违规事件时帮助恢复。
德拉戈斯警告说:“ ICS运营商必须提前解决此类问题,而不是试图在入侵中期或入侵后找出此类敏感,复杂的物品。”
据安全专家称,对工业控制系统(从电网到工厂和铁路网络的一切运行)的基础设施的威胁正在上升。德拉戈斯说:“能力更强的对手正在大力投资,以破坏石油,天然气,电力,水等关键基础设施。”