Polityka i prawo
Nowe złośliwe oprogramowanie Triton atakuje infrastrukturę krytyczną
Nowe złośliwe oprogramowanie Triton atakuje infrastrukturę krytyczną. Firma FireEye, która poinformowała o ataku, uważa, że stoi za nim zleceniodawca o charakterze politycznym lub państwowym, chcący doprowadzić do fizycznych strat w zaatakowanej firmie Schneider Electrics.
FireEye podaje bardzo niewiele szczegółów na temat strat wywołanych przez atak. Firma nie połączyła również ataku z wykorzystaniem Tritona z żadną obecnie znaną grupą cyberprzestępczą. Twierdzi jednak z dużą pewnością, że za atakiem stoi "zleceniodawca o charakterze politycznym lub państwowym".
Według FireEye, na takie źródło ataku wskazuje przede wszystkim ewidentny brak motywacji finansowych, a także duże zasoby, których użycie było konieczne do przeprowadzenia tego rodzaju działań. Firma uznaje, że atak z dużą dozą prawdopodobieństwa można przypisać hakerom rosyjskim, irańskim, północnokoreańskim, bądź też powiązanym ze Stanami Zjednoczonymi.
Złośliwe oprogramowanie Triton stworzone jest z myślą o przejmowaniu kontroli nad tzw. kontrolerami SIS, które w infrastrukturze krytycznej używane są do monitorowania procesów oraz prawidłowego przywracania ich do bezpiecznego stanu po wyłączeniach związanych z wystąpieniami czynników ryzyka.
Firma Dragos, która zajmuje się cyberbezpieczeństwem dla sektora infrastruktury krytycznej, która również zajęła się analizą tego złośliwego oprogramowania i ataku z jego użyciem, celem hakerów było uderzenie w jednego z magnatów przemysłowych Bliskiego Wschodu.
Złośliwe oprogramowanie Triton może odczytywać i modyfikować całe programy, jak i poszczególne funkcje, które służą do obsługi kontrolerów SIS. Podczas ataku, który wykryła firma FireEye, hakerzy zainfekowali Tritonem komputer z Windowsem. Złośliwe oprogramowanie rozpoczęło działanie w tle, podczas gdy właściwe narzędzia do obsługi kontrolerów wciąż pozornie wykonywały swoje zadania.
W momencie, gdy hakerzy przejmują kontrolery SIS, mogą dowolnie je przeprogramować, w tym - wyłączyć, co może spowodować znaczne straty finansowe dla jednostki, w której pracują. Zniszczenia fizyczne, których można dokonać przez przejęcie kontrolerów SIS są jednak ograniczone przez dodatkowe systemy bezpieczeństwa działające w jednostkach infrastruktury krytycznej.
Jak wskazuje FireEye, ataki tego rodzaju niekoniecznie mają na celu bezpośrednie uszkodzenie obecnie działającej infrastruktury, mogą natomiast stanowić przygotowanie do szerszej akcji.