5月28日訊 工業網絡安全公司 Dragos 2018年5月24日披露，"最強"工控惡意軟件 Trisis（又被稱為 Triton 和 HatMan）背后的黑客組織 Xenotime 初露行動軌跡，目前已擴大攻擊目標范圍。

Trisis 與黑客組織 Xenotime

Trisis 是首款專門針對安全儀表系統的惡意軟件，也首款能遠程讓民用基礎設施進入不安全狀態的惡意軟件，其工作方式與 Stuxnet 類似，均有能力操縱旋轉組件的轉速，可能引起工廠關閉或者使人受傷。

Trisis 的厲害之處在于其完整的文件庫通過五種不同的編程語言構建，僅能在其瞄準的同款工業設備上測試才能完全了解這款惡意軟件。消息人士預測，一支專業的惡意軟件開發團隊也需要花上一年時間才能開發出與 Trisis 相匹敵的惡意軟件，其甚至難倒了美國國家安全局（NSA）的分析師。足以顯示出黑客組織 Xenotime 的潛在危險性。

曾攻擊安全儀表系統（SIS）

Xenotime 黑客組織可能自2014年開始活躍，2017年12月，該黑客組織利用施耐德 Triconex安全儀表控制系統（SIS，Safety Instrumented System）零日漏洞，攻擊中東一家石油天然氣工廠，致其工廠停運。

安全儀表系統（SIS）作為硬件和軟件控制系統，其主要作用是保護核、油氣或制造等工廠的工業進程和設備。SIS 是工廠企業自動控制中的重要組成部分。目前全球有為數不多的幾家公司在開發并管理 SIS 系統，包括但不限于艾默生（Emerson）、霍尼韋爾（Honeywell）和日本的橫河電機（Yokogawa）。

Xenotime 瞄準全球更多安全系統

工業網絡安全公司 Dragos 經過分析后發現，黑客組織 Xenotime 已將目標瞄向全球的組織機構，該公司未透露該組織近期的攻擊活動細節，但指出該黑客組織活躍在多個設施中，除了施耐德電氣的 Triconex 以外還針對其它的安全系統。

據一名前美國官員透露，美國的工業公司已遭遇該組織發起的攻擊，但并未透露最近受影響的系統或工業公司。目前尚不清楚黑客組織 Xenotime 如何成功開發并維護了如此復雜的惡意軟件。

Dragos 公司有一定的把握認為，Xenotime 打算建立必要的訪問和能力，以在未來引發潛在破壞性、甚至是毀滅性事件。

在沙特阿拉伯油氣工廠遭遇的攻擊事件中，該組織創建了一個自定義惡意軟件框架和定制的憑證收集工具，但錯誤配置問題觸發了安全系統。逐漸成熟的 Xenotime 組織未來犯這樣低級錯誤的可能性將大幅降低。

已具備黑進安全儀表系統的能力

Dragos 公司威脅情報與分析總監塞爾吉奧·卡爾塔吉拉諾表示，最近幾起事件說明，Xenotime 組織已能成功攻擊企業的 IT 系統并進入安全儀表系統，Xenotime 正在使用網絡釣魚郵件和所謂的“水坑”網站攻擊工業公司的工程師，旨在吸引工程師的注意力，以入侵他們的賬號并竊取管理憑證。之后，Xenotime 通常會潛伏數周或數月，橫向移動尋找 IT 和 OT 網絡之間的缺陷。

Xenotime身份猜測

工業網絡安全和威脅情報公司 CyberX 的研究人員曾認為，Trisis 的幕后黑手是伊朗，但 Dragos 尚未提供任何有關歸因的信息。Dragos 公司指出，尚未發現 Xenotime 與其它已知黑客組織存在關聯的線索。

Dragos 一直在追蹤幾個針對工控系統的威脅攻擊組織。該公司目前已發布報告分析幾個此類黑客組織的行徑，包括與俄羅斯有關的Allanite（針對美國和英國的電力公司），以及與伊朗有關的 Chrysene（攻擊中東和英國的工控系統網絡）。

其他工控惡意軟件

與國家有關聯的黑客組織過去曾嘗試使用各類針對ICS的惡意軟件。包括 Stuxnet、Havex、Blackenergy2、Crashoverride：

Havex 也曾被用來入侵 ICS 制造商的網站，在合法軟件下載中布下陷阱；

2015年12月，Blackenergy2被用來攻擊烏克蘭電網；

2016年12月，Crashoverride被用來攻擊烏克蘭多個發電廠。

Trisis 是一個多階段惡意軟件框架，被認為是第5個專門針對 ICS 惡意軟件變種，其它此類惡意軟件包括 CrashOverride（2016年攻擊烏克蘭變電站）和最臭名昭著的震網病毒 Stuxnet（2010年破壞伊朗核電站）。