W historii cyberbezpieczeństwa pewną cezurę może stanowić pierwsza fala ataków Stuxnet, która czasowo sparaliżowała działanie irańskiego sektora energetycznego, a także programu atomowego. Nagle wirusy komputerowe, kojarzone dotąd z rozsyłanymi mailami programami wyłączającymi pecety, stały się nową klasą oręża przeciw strategicznej infrastrukturze całych państw.
Możliwe, że z tej klasy zagrożeniem mamy do czynienia ponownie za sprawą TRITONA. Eksperci z Fire Eye opublikowali dziś raport, w którym opisują mechanizm działania i dotychczasowe przypadki użycia nowego malware. Wiemy już, że w ostatnim czasie drugi raz doszło do ataku z jego pomocą. Po raz pierwszy TRITON, znany także jako TRISIS, wykorzystany został w sierpniowym ataku na zakłady w Arabii Saudyjskiej. Ofiarą padły między innymi laboratoria i fabryki konglomeratu Samara – tamtejszego potentata chemicznego. Zaatakowane zostały także zakłady produkujące energię.
Zobacz też: Potentat produkcji aluminium ofiarą cyberataku. Norsk Hydro zamyka zakłady
TRITONA wyróżnia na tle pospolitego malware to, że zamiast penetracji korporacyjnych sieci komputerowych, skupia się na ataku na długotrwałej penetracji OT, czyli tzw. technologii operacyjnej. Mowa o urządzeniach i oprogramowaniu nadzorującym proces produkcyjny, łącznie z jego elementami mechanicznymi, np. programowalne sterowniki logiczne, systemy SCADA, rozproszone systemy sterowania czy obrabiarki sterowane numerycznie. Nie chodzi zatem po prostu o to, by utrudnić funkcjonowanie zakładu, TRITON pozwala wyrządzić w nim materialne szkody.
Już w sierpniu zauważono, że oprogramowanie jest wyjątkowo groźne. Może być bowiem także wykorzystywane do paraliżu systemów odpowiedzialnych za bezpieczeństwo w zakładach i docelowo może doprowadzać nawet do katastrof przemysłowych. Dan Goodin z redakcji Ars Technica podaje przykład zbiorników z gazami, w których atakujący za pomocą TRITONA mogliby zmieniać ciśnienie. Bodaj najczarniejszą z jego wizji, choć – biorąc pod uwagę działalność Stuxneta – niemożliwą do wykluczenia, stanowi przejęcie sterowania nad prętami kontrolnymi w rdzeniach reaktorów jądrowych.
Zobacz też: ji32k7au4a83 – niezwykła tajemnica hasła, które wyciekło ponad sto razy
Dziś wiemy już, że atak na zakłady w Arabii Saudyjskiej nie były pojedynczym incydentem. Fire Eye donosi, że za pomocą TRITONA/TRISISA zaatakowany został kolejny zakład przemysłowy, szczegóły na temat profilu jego działalności nie zostały jednak ujawnione. Wiemy natomiast, że mamy do czynienia z kompletnym frameworkiem Advanced Persistent Threat składającym się z komponentów zbierających dane, pozwalających na zdalne wykonanie kodu oraz tylnych bramek:
Po początkowym rozprzestrzenieniu się w korporacyjnej sieci, TRITON skupia się przede wszystkim na uzyskaniu dostępu do sieci OT. Nie prowadzi działań łączonych zazwyczaj z działalnością szpiegowską, jak wykorzystywanie keyloggerów, robienie zrzutów ekranu, przeglądanie plików i/lub eksfiltracja dużych ilości informacji. Większość narzędzi wykorzystywanych do ataków było skoncentrowanych na rekonesansie sieci, penetracji i utrzymywaniu się w stanowiącym cel środowisku.
Eksperci nie mają wątpliwości do jego złożoności kampanii, penetracja infrastruktury zakładów może trwać latami. Ponadto TRITON wykorzystuje zmyślne mechanizmy maskowania swojej działalności: naśladuje procesy administracyjne, zmienia nazwy plików na niewzbudzające podejrzeń, regularnie usuwa pobierane pliki i czyści logi, aktywizuje się, gdy rozpoznaje bezczynność urządzeń. Dodatkowe informacje na temat TRITONA znaleźć można w raporcie sporządzonym przez Fire Eye.