Co to jest Triton?

Triton (nazywany również Trisis) to malware, który został odkryty po raz pierwszy pod koniec 2017 roku w zakładzie petrochemicznym w Arabii Saudyjskiej. Firma FireEye poinformowała, że Triton atakował urządzenia przemysłowe, a konkretnie kontrolery bezpieczeństwa Triconex produkowane przez firmę Schneider Electric, czyli rodzaj automatyki zabezpieczającej, chroniącej przed niebezpiecznymi zdarzeniami. Kontrolery bezpieczeństwa Triconex są używane w ok. 18 tys. zakładów, głównie elektrowniach atomowych, rafineriach gazowych i paliwowych oraz zakładach chemicznych.

Jak działa malware Triton?

Złośliwa aplikacja uderzała w bardzo konkretny system SIS – Triconex firmy Schneider Electricu zyskując informację o jego konfiguracji. Atakujący uzyskali dostęp do sieci prawdopodobnie za pomocą techniki spear pishing. Po pierwotnej infekcji w sieci głównej atakujący zdołali dostać się do sieci kontroli przemysłowej (ICS) by uderzyć w kontrolery SIS. Narzędzie mogło robić różne rzeczy m.in. odczytywać i zapisywać programy i funkcje, odpytywać o jego stan. Atakujący mogli również zatrzymać procesy przemysłowe poprzez wywołanie fałszywego alarmu, albo przeprogramować logikę kontrolera by niebezpieczne warunki nie zostały wykryte. Podejrzewa się, że hakerzy zainwestowali czas i pieniądze, aby za pomocą wstecznej inżynierii rozkodować komunikację Triconex’a.

Kto stoi za Tritonem?

Nie ma pewności kto stworzył malware i w jakim celu. Firma FireEye podejrzewa, że za Tritonem najprawdopodobniej stoi Centralny Instytut Badawczy Chemii i Mechaniki z Rosji (Central Scientific Research Institute of Chemistry and Mechanics). Badacze z firmy FireEye znaleźli plik zostawiony przez hakerów, który prowadził do Instytutu. Poinformowano również, że znaleziono dowody na udział jednego z profesorów tego instytutu, ale nie ujawniono jego nazwiska.
Co ciekawe atakujący mogli dostać się do sieci korporacyjnej firmy petrochemicznej już w 2014 roku. Od tego czasu czekali na znalezienie dojścia do sieci wewnętrznej i docelowo do stacjii nżynierskiej.

Przejęcie kontroli

Atakujący prawdopodobnie pozyskali urządzenie Schneider identyczne do tego, które działało w Arabii Saudyjskiej, aby przetestować działanie i sposób komunikacji stacji z systemami bezpieczeństwa. Hakerzy znaleźli również podatność „zero-day” w oprogramowaniu Triconex, która pozwoliła im wstrzyknąć kod do pamięci systemów bezpieczeństwa i umożliwiła przejęcie kontroli.

Skutki ataku Triton’a

Skutki tego ataku mogły być katastrofalne. To był pierwszy atak hakerski w historii, który został zaprojektowany, aby narazić ludzkie życie. Kontrolery SIS znajdują się nie tylko w zakładach petrochemicznych, ale są ostatnią linią obrony w wielu instytucjach infrastruktury krytycznej: od systemów transportu po elektrownie jądrowe. W tym przypadku mogło dojść do ulotnienia się trujących gazów lub nawet eksplozji.

Co dalej?

W ostatnich latach ataki na protokoły przemysłowe stają się coraz łatwiejsze dla hakerów. Obecnie w internecie można znaleźć sporo dokumentacji protokołów, coraz więcej urządzeń przemysłowych jest też podłączonych do sieci. To powoduje, że instytucje krytyczne powinny stale monitorować zabezpieczenia protokołów SIS i wprowadzać bardziej wyrafinowane systemy bezpieczeństwa, aby chronić ludzi przed katastrofą.