Új kutatási eredményeket mutattak be az ipari vezérlő rendszereket támadó, hírhedt TRITON malware-ről

A Black Hat USA 2018 konferencián hozták nyilvánosságra a NOZOMI Networks kutatását, amely az ICS rendszereket érő kibertámadások közül kiemelkedő TRITON malware-rel foglalkozik. A TRITON (más néven TRISIS, vagy HatMan) az első olyan szofisztikált káros kód, ami az ún. Safety Instrumented System (SIS) rendszereket, vagyis az ipari létesítmények automatizált védelmi rendszereit célozza, amelyek feladata a meghibásodások és különböző katasztrófa állapotok megelőzése. Többek között ennek a malewarenek tulajdonítják több közel-keleti olaj- és gázipari létesítmény 2017 decemberében történt leállását. A kutatók részletesen bemutatják, hogyan alakították ki a szimulációs környezetet, és hogyan voltak képesek egyes szoftverek visszafejtésével káros tevékenységeket végrehajtani. Az elemzés arra a következtetésre jut, hogy egy TRITON támadás kivitelezése nem igényel sem komoly anyagi erőforrásokat, sem jelentős szakismeretet, így az üzemeltetők sürgős feladata a SIS rendszerek monitorozása és biztosítása. Mindennek a támogatására két saját fejlesztésű, ingyenes eszközt is közreadtak a GitHubon.