Zaawansowany wirus komputerowy Triton może doprowadzić do wybuchu elektrowni

Eksperci ds. cyberbezpieczeństwa donoszą o kolejnym incydencie z wykorzystaniem malware’u Triton, który przed rokiem sparaliżował saudyjską instalację petrochemiczną. Najnowszy atak stanowi najprawdopodobniej element szeroko zakrojonej kampanii hakerskiej, skierowanej przeciwko obiektom przemysłowym.


Triton - malware wymierzony w przemysł

Osoby odpowiadające za bezpieczeństwo sieci przemysłowych powinny mieć się na baczności i uważać na malware Triton. Ponownie bierze on na cel krytyczną infrastrukturę przemysłową, w szczególności elektrownie i rafinerie. Zagrożenie może doprowadzić do dezaktywacji infrastruktury wspierającej, np. instalacji schładzających. Rezultatem skutecznie przeprowadzonego ataku Tritona może być nie tylko zaburzenie funkcjonowania przedsiębiorstwa, ale także fizyczne uszkodzenie obiektu. To z kolei może skutkować powstaniem zagrożenia dla życia i zdrowia pracowników oraz mieszkających w pobliżu ludzi.

Eksperci ds. cyberbezpieczeństwa poinformowali, że w minionych tygodniach udaremniono kolejny atak z wykorzystaniem Tritona. Ostatni zanotowany atak tego wirusa miał miejsce w 2017 roku, kiedy oprogramowanie to zostało użyte przeciwko saudyjskiej instalacji petrochemicznej. Na całe szczęście nie doszło wtedy do poważnych szkód, jednak skutki incydentu mogły być poważne.

- Według czarnego scenariusza mogło wtedy dojść do potężnej eksplozji oraz zanieczyszczenia obszaru wokół instalacji petrochemicznej. Stanowiłoby to poważne zagrożenie zarówno dla jej pracowników, jak i okolicznej społeczności. Wydawało się, że niebezpieczeństwo związane z Tritonem zostało zażegnane, jednak w ostatnich dniach dotarły do nas informacje o kolejnym udaremnionym ataku tego zagrożenia – tłumaczy Piotr Zielaskiewicz, product manager rozwiązań Stormshield w firmie DAGMA, specjalizującej się w bezpieczeństwie IT.

Badacze, którzy zidentyfikowali ostatni incydent, nie zdradzili jakie przedsiębiorstwo zostało zaatakowane przez hakerów. Podkreślono jedynie, że była to instalacja o znaczeniu strategicznym.Ważniejszy jest jednak sam fakt dokonania ataku. Świadczy on o tym, że Triton przez cały czas pozostaje w użyciu. Niewykluczone, że wkrótce możemy usłyszeć o kolejnych atakach z jego wykorzystaniem.

Groźne zagrożenie infiltrujące przemysł

Zagrożenie atakuje konkretne podmioty i realizuje infekcję według precyzyjnego, konsekwentnie realizowanego planu. W przypadku ujawnionych do tej pory incydentów, hakerzy, którzy wykorzystali Tritona, mieli dostęp do wewnętrznej sieci zaatakowanych przedsiębiorstw na długo przed podjęciem działań. Mówimy tu nawet o kilku latach. Dodatkowy czas wykorzystywany był na szukanie luk w zabezpieczeniach oraz ostrożną infiltrację infrastruktury. Wykrycie napastników, w przypadku tak prowadzonej operacji, jest praktycznie niemożliwe.Zaatakowane podmioty dowiadują się o zajściu zazwyczaj dopiero w momencie, gdy wkracza ona w finalną fazę. Bardzo często jest już wtedy zbyt późno na podjęcie skutecznych działań obronnych.

W opinii Piotra Zielaskiewicza, ataki targetowane, wymierzone przeciwko konkretnym instytucjom, zawsze stanowią poważne wyzwanie dla specjalistów zajmujących się bezpieczeństwem IT. Skutecznie przeprowadzone, wykorzystują słabe strony danego systemu bezpieczeństwa i są bardzo trudne do wykrycia: "Samo oddzielenie kluczowych elementów infrastruktury IT od głównej sieci, w wypadku Tritona okazało się niewystarczające. Pomocne w takich przypadkach może okazać się jednak zaimplementowane w sieci rozwiązania typu Next Generation Firewall i UTM. Ważne tylko, by takie zabezpieczenie było w wersji, która podoła dość wymagającym warunkom przemysłowym, tzn. będzie odporne na zwiększone zapylenie czy wyższą temperaturę".