Российские
хакеры изо всех сил пытались стереть
цифровые следы после отчета об атрибуции
тритона («Triton»).
СИНГАПУР
- SECURITYWEEK 2019 ICS CYBER SECURITY CONFERENCE - Некоторые
из цифровых доказательств, которые
привели к тому, что исследователи в
области безопасности связали пресловутое
вредоносное ПО «Triton» с российским
исследовательским институтом, были
удалены после того, как информация была
обнародована.
Сообщение
в блоге, опубликованное в октябре 2018
года компанией по кибербезопасности
«FireEye», с «высокой степенью уверенности»
оценило, что вредоносное ПО «Triton», также
известное как «Trisis» и «HatMan», было связано
с Россией, в частности с Центральным
научно-исследовательским институтом
химии и механики (CNIIHM) техническая
Исследовательская организация,
расположенная в Москве и принадлежащая
российскому правительству.
Компания
«FireEye», которая отслеживает эту
деятельность как «TEMP.Veles», проанализировала
некоторые связанные с «Triton» инструменты,
загруженные в онлайн-сервисы анализа
вредоносных программ, и наткнулась на
путь, который привел исследователей к
онлайн-прозвищу человека, проживающего
в Москве, который принимал участие в
исследовании уязвимости и который,
очевидно, был профессором в ЦНИИХМ.
Однако
спустя несколько недель после того, как
«FireEye» опубликовал свой отчет об
атрибуции, компания заметила, что
некоторые свидетельства начали исчезать
из Интернета, - заявил в среду старший
аналитик по киберугрозам в «FireEye» Йихао
Лим, на конференции «SecurityWeek ICS» по
кибербезопасности в Сингапуре.
Натан
Брубейкер, который возглавляет
киберзащитную команду «FireEye Intelligence»,
сообщил «SecurityWeek», что через 2-4 недели
после публикации в блоге «FireEye» они
заметили, что «CNIIHM» удалил много
фотографий со своего веб-сайта, в том
числе одну, показывающую человека,
который позволил им провести связь
между Тритоном и институтом.
Натан
Брубейкер сказал, что они также заметили,
что некоторая информация, касающаяся
отдела, в котором работал человек, также
была изменена.
Кроме
того, данные о владельце регистрации
(WHOIS), связанные с диапазоном IP-адресов,
используемым институтом, были замаскированы
спустя немногим более двух недель после
публикации в блоге «FireEye» - изначально
было ясно, что диапазон IP принадлежит
«CNIIHM», но все ссылки на «CNIIHM» были позже
удалены. Компания «FireEye» видела, как
один из этих IP-адресов проводил
рекогносцировку сети против критически
важных инфраструктурных организаций,
и был причастен к другой вредоносной
деятельности, поддерживающей «TEMP.Veles».
Фирма
по кибербезопасности не обнародовала
все свидетельства, которые могли
засвидетельствовать этот факт, что
«CNIIHM» внес вклад в развитие структуры
«Triton», но она раскрыла некоторые из
найденных улик. Предприятие «FireEye»
подчеркнуло, что они не утверждают, что
вся структура «Triton» является работой
этой организации.
Они
указали на то, что персонал «CNIIHM» сделает
его очень способным для разработки
вредоносных программ «Triton». В компании
есть исследовательские отделы, которые
специализируются на защите критически
важной инфраструктуры и разработке
вооружений и военной техники, и они
сотрудничают с широким кругом других
организаций, включая организации,
занимающиеся информатикой, электротехникой,
оборонными системами и информационными
технологиями.
Когда
они опубликовали свой отчет об атрибуции,
компания «FireEye» упомянула, что, некоторые
сотрудники «CNIIHM» могли выполнять эти
действия без ведома организации, этот
сценарий маловероятен, учитывая, что
действие охватывает несколько лет.
Существование
группы хакеров «Triton» стало известно в
2017 году после того, как вредоносное ПО
скомпрометировало систему безопасности
«Schneider Electric» и вызвало сбои на нефтегазовом
заводе в Саудовской Аравии. Сотрудник
под ником «Mandiant» от «FireEye» был вызван
для расследования инцидента, и компания
заявила, что недавно отреагировала на
еще одно нападение, проведенное группой
«Triton» на критически важный объект
инфраструктуры. Тем не менее, он не смог
поделиться какой-либо информацией о
цели этой второй атаки, но пояснил, что
в ходе операции не было обнаружено
вредоносное ПО «Triton».
Компания
по безопасности недавно опубликовала
более подробную информацию о методах
и инструментах, используемых
злоумышленниками «Triton», и отметила, что
группа сосредоточилась на поддержании
доступа, боковом движении, проведении
разведки и избежание обнаружения, а не
на краже информации с скомпрометированных
устройств.
Фирма
промышленной кибербезопасности «Dragos»,
которая отслеживает группу, стоящую за
«Triton» как «Xenotime», сообщила в прошлом
году, что хакеры расширили свой список
целей за пределы Ближнего Востока и
начали нацеливаться на более широкий
спектр систем безопасности. Далее
следует.