多个ICS(工业控制部门)部门现在面临XENOTIME威胁;这意味着个别垂直行业(如石油和天然气、制造业或电力)不能忽视对其他ICS实体的威胁,因为它们不是专门针对的目标。
德拉戈斯的研究人员将这种威胁扩散称为自2017年Xenotime在中东一个关键站点造成严重运营中断以来世界上最危险的网络威胁。
网络安全专家最担心的事实是,这次黑客攻击是一种恶意软件,它选择以设施安全流程(SIS -安全仪器系统)为目标。
例如,当反应堆的温度上升到不安全水平时,SIS会自动启动冷却过程或立即关闭阀门,以防止安全事故。SIS安全杆既是硬件也是软件,结合起来保护设施免受危及生命的事故。
在这一点上,没有人确定谁是Xenotime的幕后黑手。俄罗斯与乌克兰的一起重要基础设施袭击有关。这次攻击被认为是第一次与黑客有关的电网中断。
这是德拉戈斯于2019年6月14日发布的一篇“令人担忧的文章”.
“虽然迄今为止还没有一起针对电力公司的事件导致已知的成功入侵受害者组织,但持续的企图和范围的扩大确实值得关注。XENOTIME已经成功地解决了多个油气环境的问题,证明了其在其他垂直领域的能力。具体来说,XENOTIME仍然是仅有的四个威胁之一(另外三个是ELECTRUM、Sandworm和负责Stuxnet的实体),可以执行故意的破坏性或破坏性攻击。
XENOTIME是唯一已知的专门针对安全仪器系统(SIS)进行破坏或破坏性目的的实体。电力环境在许多方面与石油和天然气作业有很大不同,但电力作业仍然有安全和保护设备,可以使用类似的谍报技术作为目标。XENOTIME表达了对电力公用事业运营的持续、直接的兴趣,这是一个令人深为担忧的原因,因为这个对手愿意牺牲过程安全——从而牺牲完整性——来完成其使命。
XENOTIME向另一个垂直行业的扩张象征着日益敌对的工业威胁格局。大多数观察到的XENOTIME活动集中在初始信息收集和后续ICS入侵操作所需的访问操作上。从长期以来国家支持的对美国、英国和其他电力基础设施的入侵中可以看出,实体对ICS操作的基础知识越来越感兴趣,并显示与未来攻击所需的信息和访问获取相关的所有特征。虽然Dragos目前没有看到任何证据表明XENOTIME(或任何其他活动组织,如ELECTRUM或ALLANITE)有能力对电力公司的运营实施长期的破坏性或破坏性事件,但观察到的活动强烈表明对手有兴趣满足这样做的先决条件。”
