Triton malver - nova pretnja za industrijske kontrolne sisteme
Pretpostavlja se da malver služi sa sabotažu, jer napada sistem koji služi za detektovanje nebezbednog stanja u industrijskim sistemima.
Pojavio se novi trojanac koji cilja industrijske kontrolne sisteme (ICS) i ima potencijal da izazove ozbiljne poremećaje u funkcionisanju pogođenih organizacija. Triton (Trojan.Trisis) je dizajniran za napad na SIS (safety instrumented systems) koji je specifična vrsta ICS-a. Napadom na SIS, Triton može da poremeti njegovo funkcionisanje. Poznato je da je najmanje jedna organizacija na Srednjem Istoku pogođena Triton malverom. Veruje se da iza napada stoji neka država.
Triton je aktivan od septembra 2017. Funkcioniše tako što kompromituje Windows računare koji treba da se povežu sa SIS uređajem. Malver zatim ubacuje kod koji modifikuje ponašanje SIS uređaja. Još uvek nije poznato šta tačno napadači žele da postignu ovakvim napadima.
Šta je SIS?
SIS (safety instrumented systems) su vrsta industrijskog kontrolnog sistema (ICS) čiji je cilj da prate rad kritičnih sistema i preduzmu korektivne akcije u slučaju detektovanja nebezbednog stanja. To uključuje pojave kao što su previsoka temperatura ili pritisak u industrijskim sistemima. SIS ima zadatak da te pojave detektuje i da preduzme akciju koja će problematični sistem vratiti u prvobitno stanje.
Napadi na SIS uređaje imaju potencijal da izazovu poremećaje u funkcionisanju organizacije, a u najgorem slučaju, da dovedu do sabotaže. Kompromitovanjem SIS uređaja, napadač može da izazove gašenje operacija u energetskom postrojenju. Najgori scenario bi bio da napad poremeti rad SIS uređaja tako da on ne detektuje nebezbedni događaj, što bi za posledicu moglo da ima industrijski akcident.
Nije prvi napad na ICS
Triton je prvi zabeleženi slučaj malvera koji napada SIS uređaje. Međutim, ovo nije prvi napad na ICS. Možda i najpoznatiji slučaj ICS malvera je Stuxnet koji je kompromitovao programabilne logičke kontrolere (PLC) koji su se koristili u iranskom programu za obogaćivanje uranijuma.
Čuvena Dragonfly sajber špijunska grupa je takođe poznata po napadima na ICS. Pomoću Oldrea trojanca, kompromitovali su softver većeg broja provajdera ICS opreme.
Od svežijih napada, izdvaja se Disakil malver koji briše podatke koji je korišćen u napadima na ukrajinski energetski sektor 2016. godine. Disakil je dizajniran za napad na SCADA ICS sisteme. Malver je pokušao da stopira i izbriše servis koji softver koristi za komunikaciju sa starim SCADA sistemima.
Preporuke
Triton je malver koji se koristi za veoma precizno targetiranje. Moguće je da su napadači fokusirani na samo jednu, specifičnu organizaciju ili na mali broj njih. Bez obzira na to, korisnicima SIS uređaja se preporučuje da provere operativnu bezbednost i da se drže preporuka proizvođača (na primer, da bezbednosni sistemi budu u izolovanim mrežama i da samo autorizovane osobe imaju pristup SIS uređajima).
Symantecovi proizvodi pružaju zaštitu od Triton malvera.
Izvor: Symantec Blog