这个最危险的黑客组织正在探测电网

据一家安保公司称，在工业系统“最危险的威胁”中描述的黑客组织对美国和其他地方的电网产生了浓厚的兴趣。根据安全公司Dragos的说法，被认为是沙特阿拉伯石化厂工业控制系统(ICS)袭击事件背后的黑客组织现在正在探测全球更多的潜在受害者，包括美国的电网。“对ICS最危险的威胁在其目标中有新的目标，”Dragos说。“这种向新的垂直扩张的趋势说明了其他ICS目标对手可能继续发展的趋势。”

这个特殊的黑客组织因其涉及的一个事件而引人注目。2017年底，据透露，黑客已经感染了沙特阿拉伯石化厂的工业控制系统，其恶意软件被称为Triton或Trisis，旨在干扰工业安全系统。

恶意软件针对控制紧急关闭功能的系统，安全公司警告说，攻击者正在开发造成物理损坏和可能关闭操作的能力。当时分析师警告说，这项活动与一个准备攻击的民族国家是一致的;后来安全公司FireEye的分析将恶意软件与俄罗斯国有研究实验室联系起来。

今年4月，FireEye还表示，另一家未透露姓名的公司在系统上发现了同样的恶意软件。现在Dragos已经警告说，恶意软件背后的组织 - 这称为Xenotime--在之前只专注于石油和天然气之后，一直在探索美国和亚太地区的电力网络。

“从2018年末开始，Xenotime开始在美国和其他地方使用类似的策略来探测电力公用事业组织的网络，以对抗该组织对石油和天然气公司的运营，”Dragos说。

Dragos表示，2017年对沙特阿拉伯石油和天然气设施的袭击代表了对ICS攻击的升级，因为恶意软件针对的是安全系统，旨在造成人员伤亡或物理损失。该公司表示，自那次袭击以来，黑客组织已将业务扩展到包括中东以外的石油和天然气公司，并表示该集团在2018年破坏了几家ICS供应商和制造商。

Dragos表示，自2017年以来，黑客组织的活动包括对潜在受害者的重大外部扫描和研究以及针对北美和欧洲公司的外部访问尝试。

Dragos表示，今年2月，它发现收集与美国和亚太电力公司相关信息的企图。

“这种行为可能表明活动组正在为进一步的网络攻击做准备，”该公司表示。Dragos表示曾尝试使用以前被盗的用户名和密码列表来尝试强制进入目标帐户。但它也表示，电力公用事业目标事件都没有导致成功的入侵。

Dragos表示，鉴于该对手愿意妥协过程安全，该集团对电力运营业务感兴趣的证据“令人深感忧虑。”

该安全公司表示，黑客组织的大部分活动都集中在后续ICS入侵操作和未来攻击所需的初始信息收集和访问操作上。但它也表示没有证据表明该组实际上能够对电力公用事业进行破坏性或破坏性攻击

Dragos表示，运行工业控制系统的组织应该为潜在的破坏和中断情况做好准备。它说安全团队可以做的最重要的事情是提高他们对ICS网络活动的认识。公司还应该处理可能导致安全仪表系统完整性丢失的情景，例如让事件响应团队随叫随到，配置和流程数据都可以与可能受损的设备进行比较，并在发生违规时帮助恢复。

“ICS运营商必须提前解决这些问题，而不是试图在入侵中或入侵后找出这些敏感，复杂的物品，”Dragos警告说。

据安全专家称，工业控制系统面临的威胁正在上升，工业控制系统是从电网到工厂和铁路网络的所有基础设施。“更有能力的对手正在大力投资破坏石油和天然气，电力，水等关键基础设施的能力，”德拉戈斯说。