Размер шрифта: A A A
Цвет сайта: A A A A

Triton: новое оружие киберсаботажа

Исследователи из FireEye проанализировали новую опасную находку — «фреймворк для проведения атак» на объекты критической инфраструктуры, получивший наименование Triton.

Этот вредоносный инструмент был обнаружен экспертами в ходе расследования киберинцидента в неназванной организации.

ics-680x400-680x400.jpg

Анализ показал, что целью Triton являются защитные системы Triconex производства Schneider Electric. Специализированные контроллеры Triconex используются для мониторинга состояния технологических процессов и в случае обнаружения потенциально опасных условий способны предотвратить аварийную ситуацию, вернув надежный статус или остановив процесс безопасным способом.

Продукты Triconex используют проприетарный протокол TriStation, документация по которому недоступна широкой публике. Тем не менее, исследователи обнаружили, что новоявленный зловред успешно взаимодействует с Triconex-контроллерами по этому протоколу, запрашивая статус. Triton также умеет читать и записывать программы и отдельные функции.

Изученный в FireEye образец был замаскирован под легитимный контроллер Triconex для инженерных рабочих станций на Windows. В ходе тестирования Triton вначале отыскал и прочел конфигурационные файлы, затем идентифицировал контроллеры и попытался развернуть полезную нагрузку.

Эти дополнительные программы, как пишет Security Week со слов экспертов, пытаются заставить легитимный контроллер либо принудительно завершить производственный процесс, либо проигнорировать тревожные признаки, что может повлечь физический ущерб (ограниченный в силу использования других механизмов защиты на производстве). В случае неудачи Triton переписывает вредоносный код «мусором» — видимо, старается замести следы.

Исследователи предполагают, что в данном случае злоумышленники, идентифицировать которых пока не удалось, использовали Triton с целью разведки. Судя по сложности и высокому уровню исполнения зловреда, а также явному отсутствию финансовых мотивов, за ним стоит группа хакеров, хорошо обеспеченных ресурсами.

Security Week также упоминает аналогичный отчет ИБ-компании Dragos, которая нарекла эту угрозу Trisis. В нем сказано, что жертва целевой атаки с использованием нового зловреда — промышленный комплекс на Ближнем Востоке.

Schneider Electric провела собственное расследование и других Triton-атак не обнаружила. По данным вендора, никаких уязвимостей в Triconex этот зловред не использует. «Следует отметить, что в данном случае система Triconex отреагировала надлежащим образом, остановив производство, — сказано в нотификации компании. — Ни клиенты, ни оборудование не пострадали».

Во избежание аналогичных атак Schneider Electric советует никогда без нужды не включать режим Program (кнопкой на передней панели) и не забывать его выключить после настройки контроллера.

Сигнатуры, ассоциированные с Triton, уже переданы ИБ-компаниям для внесения в антивирусные базы.

В заключение репортер Security Week напомнил о других инструментах киберсаботажа, список которых пока невелик. Это всем известный Stuxnet, Industroyer, предположительно использовавшийся в атаке на систему энергоснабжения Киева в декабре 2016 года, а также Irongate — еще одна находка FireEye, которая пока не замечена в реальных атаках.

Назад к списку