
Эксперты компании FireEye предупредили о новом семействе вредоносных программ TRITON, предназначенном для целенаправленных атак на АСУ ТП. Специалисты полагают, что злоумышленники используют TRITON с целью причинить физический ущерб и прервать выполнение операций.
TRITON представляет собой фреймворк, созданный для взаимодействия с контроллерами автоматизированных систем безопасности Triconex Safety Instrumented System (SIS). Активность этого вредоноса представляет угрозу национального уровня.
У TRITON есть два основных модуля:
- trilog.exe — главный исполняемый файл, использующий libraries.zip;
- library.zip — кастомная библиотека для взаимодействия с контроллерами Triconex.
Таким образом, атакующий получает удаленный доступ к рабочим станциям SIS и разворачивает TRITON для перепрограммирования контроллеров. Во время атак некоторые контроллеры вошли в состояние отказа, что автоматически привело к неисправности всего промышленного процесса.
«Мы полагаем, что атакующий имел возможность нанести физический ущерб по некоторым причинам», — пишут исследователи FireEye в своем блоге.
Вот эти причины:
- Модификация SIS может привести к сбою ее корректного функционирования. Вместе с этим возрастает вероятность отказа, который приведет к опасным последствиям.
- TRITON использовался для изменения памяти приложения на контроллерах, что могло привести к сбою в проверке валидации.
- Сбой произошел во время использования TRITON.
FireEye на данный момент затрудняется связать эти атаки с какой-либо киберпреступной группировкой.