火眼称工控恶意软件 TRITON 和俄罗斯研究机构有关

编译：360代码卫士团队

本周二，火眼公司表示，位于俄罗斯莫斯科的研究机构中央化学和力学科学研究所 (CNIIHM) 很可能帮助臭名昭著的黑客组织 Xenotime （或称 TEMP.Veles）构建了工具，导致沙特阿拉伯的一家石油化工厂被迫关闭。

火眼公司指出，一系列证据表明 CNIIHM 参与开发了 Xenotime 所使用的工具。该组织因使用 Triton 或 Trisis破坏工控系统软件从而导致工厂安全关闭而为人所知。

火眼公司认为 TEMP.Veles 所使用的恶意软件测试和 CNIIHM 存在关联，尤其是被指为在该研究所工作的一名教授。另外，CNIIHM 注册的一个 IP 地址也被指被 Triton 操作人员用于实现多种目的，“包括监控 Triton 的开源覆盖范围、实施网络侦察、以及实施恶意活动以支持 Triton 入侵活动”。

虽然火眼公司并未指明去年攻击活动的目标，但 CyberScoop 以及其它媒体表示遭攻击目标是位于沙特阿拉伯的一家石油化工厂。由于工控网络攻击可能造成潜在的实际后果，Triton 恶意软件将目光投向工控系统。5月份，CyberScoop 报道称，Triton 幕后黑手将攻击范围扩展至中东以外的地方，比如美国企业。

CNIIHM 未就此事置评。

火眼公司威胁情报主管 John Hultquist 表示，由于恶意软件测试环境的安全防御措施不足，他们设法收集了多种证据。他表示，在恶意软件被完全改良好之前，TEMP.Veles 往返于测试环境和目标之间。

Hultquist 表示恶意黑客攻击工控系统相关系统的意愿在不断增强。他指出，我们还没发现完全偶然的事件出于故意攻击的情况。

火眼公司表示，攻击的发生时间和莫斯科的时区相吻合。

上周，ESET 公司发布研究成果指出，在2015年和2016年攻击乌克兰电力网的黑客已进化，而且继续攻击东欧地区的能源企业。西方政府将该组织命名为 Sandworm，被指在俄罗斯军事情报局的指示下，于2015年攻击乌克兰电力网。

俄罗斯否认参与此类攻击基础设施的网络攻击活动。

原文链接

https://www.cyberscoop.com/trisis-russia-fireeye/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。