Преступная группа Xenotime, разработавшая зловред Triton (известный также как Trisis и HatMan), по-прежнему активна и расширяет список своих целей, считают специалисты Dragos. Атаки угрожают крупным промышленным предприятиям и способны привести к человеческим жертвам и разрушениям.

Ранее удары Xenotime были направлены против объектов критической инфраструктуры на Ближнем Востоке, однако новые версии вируса атакуют предприятия по всему миру. Несмотря на то, что Triton был специально разработан для взлома контроллеров безопасности Triconex производства Schneider Electric, последние нападения были направлены против защитных решений других вендоров.

С помощью зловреда преступники стремятся скомпрометировать аварийную систему защиты (SIS), чья задача своевременно отследить небезопасное изменение показателей и оказать на оборудование управляющее воздействие — прервать его работу до того, как случится авария.

Если аварийная служба перестанет реагировать на отклонения в производственном процессе, злоумышленники получат возможность саботировать работу предприятия и инициировать разрушения.

Xenotime впервые обратила на себя внимание в декабре 2017 года, когда эксперты из FireEye расследовали киберинцидент на нефтегазовом заводе в Саудовской Аравии. Злоумышленники использовали уязвимость нулевого дня в прошивке контроллеров Schneider Electric, загрузив в память приборной системы безопасности RAT-троян. В ходе нападения разработчики зловреда допустили ошибку, благодаря чему служба ИБ смогла отследить попытку взлома, и процесс производства был вовремя остановлен.

«Для проведения атак группа создала специальный фреймворк и уникальные инструменты для сбора учетных данных, но очевидная ошибка в конфигурации помешала ей нанести удар. Однако не стоит ожидать, что злоумышленники еще раз допустят такой промах», — заявляют аналитики Dragos.

После этого случая ИБ‑эксперты продолжили отслеживать деятельность взломщиков и пришли к выводу, что преступники осуществляют нападения как минимум с 2014 года. Исследователи CyberX считают, что к созданию вредоноса Triton причастен Иран. Специалисты FireEye и Dragos отказываются комментировать эту теорию, добавляя, что не обнаружили никаких связей между Xenotime и другими известными группами.

Эксперты Dragos называют Xenotime самой опасной из действующих кибергруппировок, поскольку злоумышленники атакуют объекты критической инфраструктуры, а это может привести к гибели людей и причинению ущерба окружающей среде.

Категории: Вредоносные программы, Главное, Хакеры