Xenotime: Hackers βρίσκονται πίσω από δυο δυνητικά θανατηφόρες εισβολές σε βιομηχανικές εγκαταστάσεις στην Αμερική, σύμφωνα με ερευνητές με την εταιρεία ασφαλείας Dragos.
Η hacking ομάδα, που έχει ονομαστεί Xenotime, κέρδισε γρήγορα διεθνή προσοχή το 2017 όταν οι ερευνητές ανέφεραν ότι η Xenotime προκάλεσε μια επικίνδυνη επιχειρησιακή διακοπή σε ένα σημείο κρίσιμης υποδομής στη Μέση Ανατολή. Ερευνητές από το Dragos έχουν χαρακτηρίσει την ομάδα την πιο επικίνδυνη απειλή στον κυβερνοχώρο παγκοσμίως από τότε.
Το πιο ανησυχητικό πράγμα για αυτήν την επίθεση ήταν η χρήση άγνωστου κακόβουλου λογισμικού που στοχεύει τις διαδικασίες ασφάλειας της εγκατάστασης. Αυτά τα συστήματα είναι ένας συνδυασμός υλικού και λογισμικού που χρησιμοποιούν πολλοί σημαντικοί χώροι υποδομής για να αποτρέψουν την εμφάνιση μη ασφαλών συνθηκών. Όταν οι πιέσεις του καυσίμου αερίου ή οι θερμοκρασίες του αντιδραστήρα ανέρχονται σε δυνητικά μη ασφαλή όρια, για παράδειγμα, ένα SIS θα κλείσει αυτόματα τις βαλβίδες ή θα ξεκινήσει διαδικασίες ψύξης για την πρόληψη ατυχημάτων που απειλούν την υγεία ή τη ζωή.
Τον Απρίλιο, η FireEye ανέφερε ότι το κακόβουλο λογισμικό SIS-tampering, γνωστό εναλλακτικά ως Triton και Trisis, χρησιμοποιήθηκε σε μια επίθεση σε μια άλλη βιομηχανική εγκατάσταση.
Σύμφωνα με την Dragos, η Xenotime πραγματοποιεί σαρώσεις δικτύου και αναγνώριση πολλαπλών στοιχείων στα ηλεκτρικά δίκτυα στις Η.Π.Α. και σε άλλες περιοχές.
Οι επιθέσεις έρχονται σε πολλαπλές μορφές. Μια είναι τα credential-stuffing attacks, τα οποία χρησιμοποιούν κωδικούς που έχουν κλαπεί σε προηγούμενες, μερικές φορές άσχετες παραβιάσεις, με την ελπίδα ότι θα χρησιμοποιηθούν εναντίον νέων στόχων. Επιπλέον, έχουμε τα network scans, τα οποία καταγράφουν τους διάφορους υπολογιστές, τους δρομολογητές και άλλες συσκευές που είναι συνδεδεμένες σε αυτό και απαριθμούν τις θύρες δικτύου στις οποίες λαμβάνουν συνδέσεις.
Μέχρι στιγμής κανένας δεν γνωρίζει με βεβαιότητα ποιος κρύβεται πίσω από την Xenotime. Οι πρώτες υποψίες έδειξαν ότι οι hackers εργάζονται για λογαριασμό του Ιράν. Τον περασμένο Οκτώβριο, η FireEye αξιολόγησε με μεγάλη σιγουριά ότι το Triton αναπτύχθηκε με τη βοήθεια του Ινστιτούτου Κεντρικής Επιστημονικής Έρευνας Χημείας και Μηχανικής στη Μόσχα. Η Ρωσία συνδέθηκε με άλλες επιθέσεις κρίσιμης υποδομής, μεταξύ των οποίων μία τον Δεκέμβριο του 2015 σχετικά με υποδομές στην Ουκρανία που άφησαν εκατοντάδες χιλιάδες ανθρώπους στην περιοχή Ivano-Frankivsk της Ουκρανίας χωρίς ηλεκτρική ενέργεια. Αυτή η επίθεση αντιπροσώπευε την πρώτη γνωστή διακοπή ρεύματος που προκάλεσε hacker. Και σχεδόν ακριβώς ένα χρόνο αργότερα, ένα δεύτερο hack που συνδέεται με τη Ρωσία έριξε και πάλι την ηλεκτρική ενέργεια στην Ουκρανία.
