El
desarrollo del malware rastreado como Triton, Trisis y HatMan fue
apoyado por un instituto de investigación propiedad del gobierno ruso,
informó el martes FireEye.
El ataque de Triton, dirigido a los sistemas de control industrial (ICS) en una organización de infraestructura crítica en Medio Oriente, salió a la luz en diciembre de 2017. El malware atacó los controladores del Sistema de Seguridad de Instrumentos (SIS) Triconex de Schneider Electric, incluso mediante el uso de un cero Vulnerabilidad del día, y se descubrió después de un cierre del proceso que los expertos creen que fue disparado accidentalmente por los hackers.
Varias compañías han analizado el ataque y el actor de amenaza detrás de él, incluida la firma de ciberseguridad industrial Dragos, que rastrea al grupo como Xenotime y FireEye.
FireEye ahora dice que ha descubierto un fuerte vínculo entre la intrusión de Triton (la firma de ciberseguridad rastrea esta actividad como TEMP.Veles) y el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM, por sus siglas en inglés), una organización de investigación técnica ubicada en Moscú. por el gobierno ruso.
FireEye ha presentado varias pruebas que muestran una conexión entre Triton y el CNIIHM, y la compañía afirma estar en posesión de aún más información que refuerza el enlace, pero que ha sido retenida debido a su naturaleza sensible.FireEye ha señalado que si bien hay pruebas sólidas que sugieren que el instituto ruso ha estado involucrado en el desarrollo de algunas herramientas utilizadas en el ataque de Tritón, no afirma que todo el marco de trabajo de Tritón sea el trabajo de esta organización.
Hay varios aspectos que han llevado a que FireEye evalúe con "alta confianza" que Triton está vinculado a Rusia, al CNIIHM ya una persona ubicada en Moscú. Una de las pistas más importantes está relacionada con la prueba de algunas herramientas TEMP.Veles en un entorno de prueba de malware: la empresa de seguridad no ha nombrado al servicio, pero una de las más utilizadas es VirusTotal.
Los investigadores de FireEye descubrieron que un usuario que ha estado activo en el entorno de prueba mencionado anteriormente desde 2013 ha probado en varias ocasiones varias herramientas, incluidas muchas versiones personalizadas de aplicaciones ampliamente disponibles como Metasploit, Cobalt Strike, PowerSploit, WMImplant basado en PowerShell y Cryptcat.
Aparentemente, el objetivo era garantizar que las versiones personalizadas evadieran la detección por parte del software de seguridad. Los investigadores señalaron que muchas de las herramientas se utilizaron en los ataques de TEMP.Veles solo días después de haber sido analizadas en el entorno de prueba de malware.
Una ruta contenida en uno de los archivos probados llevó a los investigadores al apodo en línea de una persona con sede en Moscú que había estado involucrada en investigaciones de vulnerabilidad y que aparentemente había sido profesor en CNIIHM.
Además, los expertos también descubrieron que una dirección IP registrada en el instituto ruso se había vinculado a Triton. Esto incluye monitorear la cobertura de código abierto del ataque, realizar reconocimientos contra objetivos de TEMP.Veles y varios otros tipos de actividad maliciosa en apoyo de la intrusión del Tritón.
La presencia de múltiples archivos con nombres y artefactos cirílicos también refuerza el vínculo con Rusia, junto con patrones de comportamiento consistentes con la zona horaria de Moscú.
Los investigadores también señalaron que el conocimiento y el personal de CNIIHM lo harían altamente capaz de desarrollar el malware Triton. Cuenta con departamentos de investigación que se especializan en la protección de infraestructura crítica y el desarrollo de armas y equipo militar, y colabora con una amplia gama de otras organizaciones, incluidas las relacionadas con la informática, la ingeniería eléctrica, los sistemas de defensa y las tecnologías de la información.
También es posible, explicó FireEye, que algunos empleados de CNIIHM realizaran estas actividades sin el conocimiento o la aprobación de la organización. Sin embargo, la compañía cree que este escenario es menos probable si se considera que la actividad abarca varios años y que las capacidades del instituto son consistentes con lo que uno esperaría de la entidad detrás de la campaña de Triton.
El ataque de Triton, dirigido a los sistemas de control industrial (ICS) en una organización de infraestructura crítica en Medio Oriente, salió a la luz en diciembre de 2017. El malware atacó los controladores del Sistema de Seguridad de Instrumentos (SIS) Triconex de Schneider Electric, incluso mediante el uso de un cero Vulnerabilidad del día, y se descubrió después de un cierre del proceso que los expertos creen que fue disparado accidentalmente por los hackers.
Varias compañías han analizado el ataque y el actor de amenaza detrás de él, incluida la firma de ciberseguridad industrial Dragos, que rastrea al grupo como Xenotime y FireEye.
FireEye ahora dice que ha descubierto un fuerte vínculo entre la intrusión de Triton (la firma de ciberseguridad rastrea esta actividad como TEMP.Veles) y el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM, por sus siglas en inglés), una organización de investigación técnica ubicada en Moscú. por el gobierno ruso.
FireEye ha presentado varias pruebas que muestran una conexión entre Triton y el CNIIHM, y la compañía afirma estar en posesión de aún más información que refuerza el enlace, pero que ha sido retenida debido a su naturaleza sensible.FireEye ha señalado que si bien hay pruebas sólidas que sugieren que el instituto ruso ha estado involucrado en el desarrollo de algunas herramientas utilizadas en el ataque de Tritón, no afirma que todo el marco de trabajo de Tritón sea el trabajo de esta organización.
Hay varios aspectos que han llevado a que FireEye evalúe con "alta confianza" que Triton está vinculado a Rusia, al CNIIHM ya una persona ubicada en Moscú. Una de las pistas más importantes está relacionada con la prueba de algunas herramientas TEMP.Veles en un entorno de prueba de malware: la empresa de seguridad no ha nombrado al servicio, pero una de las más utilizadas es VirusTotal.
Los investigadores de FireEye descubrieron que un usuario que ha estado activo en el entorno de prueba mencionado anteriormente desde 2013 ha probado en varias ocasiones varias herramientas, incluidas muchas versiones personalizadas de aplicaciones ampliamente disponibles como Metasploit, Cobalt Strike, PowerSploit, WMImplant basado en PowerShell y Cryptcat.
Aparentemente, el objetivo era garantizar que las versiones personalizadas evadieran la detección por parte del software de seguridad. Los investigadores señalaron que muchas de las herramientas se utilizaron en los ataques de TEMP.Veles solo días después de haber sido analizadas en el entorno de prueba de malware.
Una ruta contenida en uno de los archivos probados llevó a los investigadores al apodo en línea de una persona con sede en Moscú que había estado involucrada en investigaciones de vulnerabilidad y que aparentemente había sido profesor en CNIIHM.
Además, los expertos también descubrieron que una dirección IP registrada en el instituto ruso se había vinculado a Triton. Esto incluye monitorear la cobertura de código abierto del ataque, realizar reconocimientos contra objetivos de TEMP.Veles y varios otros tipos de actividad maliciosa en apoyo de la intrusión del Tritón.
La presencia de múltiples archivos con nombres y artefactos cirílicos también refuerza el vínculo con Rusia, junto con patrones de comportamiento consistentes con la zona horaria de Moscú.
Los investigadores también señalaron que el conocimiento y el personal de CNIIHM lo harían altamente capaz de desarrollar el malware Triton. Cuenta con departamentos de investigación que se especializan en la protección de infraestructura crítica y el desarrollo de armas y equipo militar, y colabora con una amplia gama de otras organizaciones, incluidas las relacionadas con la informática, la ingeniería eléctrica, los sistemas de defensa y las tecnologías de la información.
También es posible, explicó FireEye, que algunos empleados de CNIIHM realizaran estas actividades sin el conocimiento o la aprobación de la organización. Sin embargo, la compañía cree que este escenario es menos probable si se considera que la actividad abarca varios años y que las capacidades del instituto son consistentes con lo que uno esperaría de la entidad detrás de la campaña de Triton.
Fuente: https://www.securityweek.com/
0 Comentarios