資安業者FireEye日前曾揭露一起鎖定工業控制系統(Industrial Control System,ICS)的攻擊行動,並造成沙烏地阿拉伯的石化工廠暫時關閉,本周FireEye公布其進一步的分析,指出相關攻擊行動與俄羅斯政府有關。
FireEye將該起攻擊行動命名為TEMP.Veles,駭客藉由自行開發的Triton惡意程式與Triconex製程安全系統(Safety Instrumented System, SIS)交流,包括可讀取SIS控制器的記憶體內容,傳送關閉SIS控制器的命令,或是竄改SIS控制器的韌體等。
然而,紐約時報在今年3月引述參與調查的消息來源報導,該起攻擊的目的並非單純地想摧毀資料或是關閉該石化工廠,而是企圖破壞石化工廠的運作,甚至引起爆炸。
當時各界即認為只有國家支持的駭客團隊能夠展開如此複雜且精密的攻擊,本周FireEye即推測Triton的開發與座落於莫斯科的俄羅斯官方技術研究組織Central Scientific Research Institute of Chemistry and Mechanics(CHIIHM)有關。
FireEye發現了一個非常可能是用來支撐TEMP.Veles的惡意程式開發活動,包含測試惡意程式的各種版本,有些即被應用在TEMP.Veles攻擊行動中,其惡意程式的開發與測試活動則與CHIIHM有密切關聯,例如其中一名位於莫斯科的測試人員與CHIIHM互動頻繁,另一個來自CHIIHM的IP位址則曾在TEMP.Veles行動中擔任要職,而且TEMP.Veles的活動時間與莫斯科的時區一致,因而判斷CHIIHM為推動TEMP.Veles行動的幕後黑手。
Triton是少數鎖定工業控制系統的惡意程式,它的前輩包括2010年用來攻擊伊朗的Stuxnet,以及2016年用來攻擊烏克蘭的Industroyer。不管是Stuxnet、Industroyer或Triton都被視為是國家級的攻擊行動,例如Stuxnet是美國在以色列的協助下所開發,主要目的在於阻止伊朗發展核武,不料卻蔓延到全球,帶來重大的企業損失,而攻擊烏克蘭電廠的Industroyer則是源自於俄羅斯駭客集團Sandworm Team,俄羅斯政府亦被指控牽涉其中。
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23