Эксперты, работающие в компании Dragos, уверены – объединение Xenotime, которое взяло на себя ответственность за деятельность Triton, снова проявляет активность, исследуя энергосистему, расположенную в Америке и Азиатско-Тихоокеанском регионе. Triton впервые обнаружили в 2017 году. ВСМИ появились сведения, описывающие применение малварь для успешных нападений на контроллеры, которые связаны с модулями безопасности под названием Triconex. Без этих действий невозможно обойтись при проведении контроля и анализе разных процессов, происходящих на заводах. Также они используются, чтобы восстановить или завершить функционал оборудования в безопасном режиме, на случай появления сбоев и непредвиденных ситуаций, аварий. Еще раньше группировка совершила атаку на объекты, относящиеся к критической инфраструктуре. Хакерской атаке, в том числе, подверглось нефтехимическое предприятие в Саудовской Аравии, которое числится за Tasnee. Во втором полугодии 2018 года эксперты FireEye также выступили с заявлением – малварь имеет отношение к РФ и ФГУП, занимающимся исследованиями в сфере химии и механики. Проанализировав сложившуюся ситуацию, специалисты Dragosвыразили опасения – скоро Xenotime проявят интерес к энергосетям Америки и иных регионов. Организации удалось зафиксировать два десятка признаков присутствия хакерской группировки из США. Однако доказательства подтверждают, что пока инфраструктуру не смогли повредить. Хакеры только ищут слабые места. При этом объединение не собирается сдавать свои позиции и якобы затихло перед планируемой мощной кибератакой. Тактики, применяемые злоумышленниками, самые разные. Технологии похожи на те, что используют против предприятий нефтегазовой сферы. Это могут быть credential-stuffing атаки, которые не обходятся без применения заранее украденных учетных сведений. Иногда сканированию подвергаются сети, на каталоги разбивают компьютеры, маршрутизаторы и оставшееся оборудование, которое подключено к ПК. Немаловажным условием в проведении хакерских атак Xenotime является составление списков доступных портов. С их помощью легче пробить защиту. Аналитики не устают повторять – масштаб планируемых операций, количество целей и регионов, которые могут пострадать, отражают серьезный настрой хакеров. Это гораздо больше, чем простой интерес к сектору.