一、简介

在之前的一篇博文中，我们详细介绍了TRITON intrusion，它影响了关键基础设施中的工业控制系统（ICS）。我们此次跟踪的行动名为TEMP.Veles。在这篇博文中，我们提供了额外的信息，将TEMP.Veles及其围绕TRITON入侵的活动与俄罗斯政府所有的研究机构关联起来。

TRITON入侵显示与俄罗斯相关，可能由俄罗斯研究所支持

FireEye Intelligence确信，TRITON的入侵活动得到了俄罗斯中央科学研究院化学与力学研究所（CNIIHM;a.k.a.ЦНИИХМ）的支持。该研究所位于莫斯科，是俄罗斯政府所有的技术研究机构。本文将进一步详细说明支持此评估的因素。我们提供尽可能多的公共信息来支持此评估，同时提供敏感信息，进一步有助于我们的高信度评估。

· 1.FireEye发现了很可能支持TEMP.Veles行动的恶意软件开发活动。包括测试恶意软件的多个版本，其中一些版本在TRITON入侵期间由TEMP.Veles使用。

· 2.对此测试活动的调查显示，它与俄罗斯、CNIIHM以及莫斯科的某个特定人士存在多种独立关系。此人的网上活动显示与CNIIHM存在重要关联。

· 3.注册CNIIHM的IP地址已被TEMP.Veles用于多种目的，包括监控TRITON的开源覆盖，网络侦察和支持TRITON入侵的恶意活动。

· 4.在TEMP.Veles活动中观察到的行为模式与CNIIHM所在的莫斯科时区一致。

· 5.我们判断CNIIHM可能拥有必要的机构和人员，协助TRITON和TEMP.Veles业务的编排和发展。

虽然不能排除一个或多个CNIIHM员工可能在没有雇主的批准下进行TEMP.Veles活动的可能性，但通过本文分享的细节表明，此解释与研究所支持TEMP.Veles相比不太可信。

二、细节

恶意软件测试揭示了TEMP.Veles和CNIIHM之间的关联

在调查TEMP.Veles活动期间，我们发现该组织在目标环境中部署了多个独特的工具。这些相同工具（通过Hash）中的一些由单个用户在恶意软件测试环境中进行评估。

恶意软件测试环境锁定TEMP.Veles

我们识别出一个恶意软件测试环境，确信该环境用于改进部分TEMP.Veles工具。

· 有时，此恶意软件测试环境的使用与TEMP.Veles的网络活动相关，展示了对入侵活动的直接支持。

· 2014年测试的四个文件基于开源项目cryptcat。对这些cryptcat二进制文件的分析表明，攻击者不断修改它们以降低AV检测率。其中一个文件部署在TEMP.Veles目标的网络中。具有最少检测的编译版本在2017年重新测试，并在不到一周后部署在TEMP.Veles的目标环境中。

· TEMP.Veles的横向移动使用了一个公开的基于PowerShell的工具WMImplant。在2017年的多个日子里，TEMP.Veles很难在多个受害系统上执行此实用程序，这可能是由于AV检测。不久之后，在恶意软件测试环境中再次评估了自定义实用程序。第二天，TEMP.Veles再次在受感染系统上尝试了该实用程序。

· 自2013年以来，用户一直活跃在恶意软件测试环境中，测试多个开源框架的定制版本，包括Metasploit，Cobalt Strike，PowerSploit和其他项目。用户的开发模式特别关注AV规避和替代代码执行技术。

· 在Mandiant进行的调查中，TEMP.Veles使用的自定义有效载荷通常是合法开源软件的武器化版本，并对代码进行改造。

测试，恶意软件部件及恶意活动指向CNIIHM

多种因素表明该活动起源于俄罗斯并与CNIIHM相关。

· 测试文件中的PDB路径包含一个唯一标记或用户名的字符串。至少从2011年起，此标记与活跃在俄罗斯信息安全社区的俄罗斯人有关。

· 此人被认为对俄语版Hacker Magazine（хакер）的漏洞研究做出贡献。

· 根据现已有的社交媒体资料，这个人是CNIIHM的教授，该教授位于莫斯科Nagatino-Sadovniki区的Nagatinskaya街附近。

· 俄罗斯社交网络上使用此标记的另一个配置文件当前显示了该用户在莫斯科附近的多张照片。

· TEMP.Veles事件包括源自87.245.143.140的恶意活动，该IP已在CNIIHM注册。

· 该IP地址已用于监控TRITON的开源覆盖范围，提高了TEMP.Vele在相关活动中对未知主体的感兴趣程度。

· 它还对TEMP.Veles感兴趣的目标进行了网络侦察。

· 此IP地址与支持TRITON入侵的其他恶意活动有关。

· 多个文件具有西里尔文名称和部件。

图1：TRITON攻击者运行时间的热图，以UTC时间表示

三、行为模式与莫斯科时区一致

对手行为进一步暗示TEMP.Veles运营商位于莫斯科。这为莫斯科俄罗斯研究机构CNIIHM参与TEMP.Veles提供了进一步证明。

图2: 修改的服务配置

· 我们确认了TEMP.Veles在目标网络横向移动期间创建的众多文件的创建时间。这些文件创建时间符合在UTC + 3时区（靠近莫斯科）内运行的攻击者的典型工作时间表（图1）。

· 从TEMP.Veles工具集恢复的其他语言部件也与此区域一致。

· 在调查期间恢复的ZIP存档schtasks.zip包含CATRUNNER的安装程序和卸载程序，其中包含伪装服务“ProgramDataUpdater”的两个版本的XML计划任务定义。

· 此恶意安装版本具有英文的任务名称和描述，干净卸载版本具有西里尔文的任务名称和描述。ZIP中修改日期的时间表也表明攻击者按顺序将俄语版本改为英语，这增加了故意掩盖其起源的可能性（图2）。

图3: 中央科学研究院化学与力学研究所 (CNIIHM) (Google Maps)

四、CNIIHM可能拥有必要的机构和人才来创建TRITON并支持TEMP.Veles运营

虽然我们知道TEMP.Veles部署了TRITON攻击框架，但我们没有具体证据证明CNIIHM已经（或没有）开发该工具。根据研究所自我描述的任务和其他公共信息，我们推断CNIIHM具备开发TRITON所需的机构专业知识。

· CNIIHM至少拥有两个在关键基础设施、企业安全和武器/军事装备开发方面经验丰富的研究部门：

· 应用研究中心创建了保护关键基础设施免受破坏性信息和技术影响的手段和方法。

· 实验机械工程中心开发武器以及军事和特殊设备。它还研究了在紧急情况下实现企业安全的方法。

· CNIIHM正式与其他国家技术和开发组织合作，包括：

· 莫斯科物理科学与技术学院（PsyTech），专门研究应用物理、计算科学、化学和生物学。

· 国家科学中心协会“Nauka”，负责协调43个俄罗斯联邦科学中心（SSC RF）。它的一些主要关注领域包括核物理、计算机科学和仪器仪表、机器人和工程以及电气工程等。

· 联邦技术和出口管制局（FTEC），负责出口管制、知识产权和保护机密信息。

 ·俄罗斯导弹与火炮科学学院（PAPAH），专门从事加强俄罗斯国防工业综合体的研究与开发。

· 来自俄罗斯招聘网站与CNIIHM的官方域名相关的信息，表明CNIIHM还致力于开发计算机辅助设计和控制的智能系统，以及创建新的信息技术（图4）。

图4: CNIIHM 网站主页

五、替代解释站不住脚

有一种可能性是一名或多名CNIIHM员工在未经雇主批准的情况下进行将TEMP.Veles与CNIIHM联系起来的行动。但是，这种情况发生的可能性极小。

· 在此情况下，一个或多个人（可能包括至少一名CNIIHM员工）基于上面讨论的绰号——在CNIIHM的地址空间内进行广泛、高风险的恶意软件开发和入侵活动，多年没有CNIIHM的认可和批准。

· CNIIHM的特征与我们对负责TEMP.Veles活动的组织的期望一致。并且TRITON是一个高度专业化的框架。