Nowe złośliwe oprogramowanie Triton atakuje infrastrukturę krytyczną

18 grudnia 2017, 09:49
Cyber laptop hacker haker ręce klawiatura

Nowe złośliwe oprogramowanie Triton atakuje infrastrukturę krytyczną. Firma FireEye, która poinformowała o ataku, uważa, że stoi za nim zleceniodawca o charakterze politycznym lub państwowym, chcący doprowadzić do fizycznych strat w zaatakowanej firmie Schneider Electrics.

FireEye podaje bardzo niewiele szczegółów na temat strat wywołanych przez atak. Firma nie połączyła również ataku z wykorzystaniem Tritona z żadną obecnie znaną grupą cyberprzestępczą. Twierdzi jednak z dużą pewnością, że za atakiem stoi "zleceniodawca o charakterze politycznym lub państwowym".

 

Według FireEye, na takie źródło ataku wskazuje przede wszystkim ewidentny brak motywacji finansowych, a także duże zasoby, których użycie było konieczne do przeprowadzenia tego rodzaju działań. Firma uznaje, że atak z dużą dozą prawdopodobieństwa można przypisać hakerom rosyjskim, irańskim, północnokoreańskim, bądź też powiązanym ze Stanami Zjednoczonymi.

 

Złośliwe oprogramowanie Triton stworzone jest z myślą o przejmowaniu kontroli nad tzw. kontrolerami SIS, które w infrastrukturze krytycznej używane są do monitorowania procesów oraz prawidłowego przywracania ich do bezpiecznego stanu po wyłączeniach związanych z wystąpieniami czynników ryzyka.

 

Firma Dragos, która zajmuje się cyberbezpieczeństwem dla sektora infrastruktury krytycznej, która również zajęła się analizą tego złośliwego oprogramowania i ataku z jego użyciem, celem hakerów było uderzenie w jednego z magnatów przemysłowych Bliskiego Wschodu.

 

Złośliwe oprogramowanie Triton może odczytywać i modyfikować całe programy, jak i poszczególne funkcje, które służą do obsługi kontrolerów SIS. Podczas ataku, który wykryła firma FireEye, hakerzy zainfekowali Tritonem komputer z Windowsem. Złośliwe oprogramowanie rozpoczęło działanie w tle, podczas gdy właściwe narzędzia do obsługi kontrolerów wciąż pozornie wykonywały swoje zadania.

 

W momencie, gdy hakerzy przejmują kontrolery SIS, mogą dowolnie je przeprogramować, w tym - wyłączyć, co może spowodować znaczne straty finansowe dla jednostki, w której pracują. Zniszczenia fizyczne, których można dokonać przez przejęcie kontrolerów SIS są jednak ograniczone przez dodatkowe systemy bezpieczeństwa działające w jednostkach infrastruktury krytycznej.

 

Jak wskazuje FireEye, ataki tego rodzaju niekoniecznie mają na celu bezpośrednie uszkodzenie obecnie działającej infrastruktury, mogą natomiast stanowić przygotowanie do szerszej akcji.

 

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
Polecam!
poniedziałek, 18 grudnia 2017, 19:23

https://exchange.xforce.ibmcloud.com/collection/TRITON-New-ICS-Attack-Framework-ad4798b90161c1668f3321b09a68f533