Minęły już prawie dwa lata, odkąd został nagłośniony incydent z udziałem złośliwego oprogramowania Triton. Ze względów bezpieczeństwa nigdy nie opublikowano wielu szczegółów, ale jak nasi czytelnicy pewnie wiedzą, bardzo duży zakład petrochemiczny w Arabii Saudyjskiej pewnego dnia zaobserwował, że ich system bezpieczeństwa - powszechnie stosowany produkt Triconex firmy Schneider Electric – inicjował i zamykał produkcję, ale nie można było znaleźć żadnego zagrożenia. Sprowadzono Schneider Electric, a następnie ekspertów od złośliwego oprogramowania, w tym FireEye, i wkrótce odkryto, że winowajcą było złośliwe oprogramowanie, które zainfekowało ich system.

Szczególnie niepokojące w tej sytuacji jest to, że to pierwszy raz, kiedy wiemy, że część złośliwego oprogramowania została wdrożona w sposób ukierunkowany na bezpieczeństwo, a nie na produkcję lub zasoby finansowe. Gdyby nie napotkało na system Triconex, to szkodliwe oprogramowanie uszkodziłoby niezawodne systemy chroniące ludzi i mogłoby doprowadzić do ogromnej ilości obrażeń i śmierci. Wyobraźmy sobie na przykład, że ciężki sprzęt nie zatrzymuje się automatycznie, jeśli osoba znajduje się w pobliżu w celu naprawy lub przez przypadek, lub jeśli operatorzy nie są już powiadamiani o rosnących temperaturach lub ciśnieniu w zbiornikach z kwasami lub chemikaliami. To mogłaby być katastrofa.

Triton Malware Update: Attribution Report

Pod koniec 2018 r. FireEye opublikowało Attribution Report, który z dużym stopniem pewności stwierdza, że zastosowanie Triton było wspierane przez rosyjski rząd. Lub, mówiąc ściślej, przez moskiewską techniczną instytucję badawczą, zwaną Centralnym Instytutem Badań Naukowych Chemii i Mechaniki, w której działają konkretne osoby znane ze swojej wiedzy na temat złośliwego wykorzystywania luk w cyberprzestrzeni. Innymi słowy, wydaje się, że jest to exploit na poziomie państwowym.

Całe szczęście, że błędne zaangażowanie systemu bezpieczeństwa doprowadziło do odkrycia szkodliwego oprogramowania, a nie prawdziwej awarii systemu bezpieczeństwa, oraz że nikt nie został ranny. Nie możemy być pewni, czy taki był zamiar Triton - ogłosić światu, że ta technologia istnieje - lub czy była to wada złośliwego oprogramowania, które nieumyślnie, przedwcześnie zwróciło na siebie uwagę. Możliwe jest również, że kod był typem „sleeper cell”, która miała pozostawać w systemie przez czas nieokreślony, dopóki hakerzy nie mieliby powodu, aby ją aktywować. To mogło być ostrzeżenie, albo pierwsze kroki w szantażu i/lub sprawcy mogliby chcieć nagłośnić swoją zdolność do wykorzystywania szeroko stosowanego systemu bezpieczeństwa używanego na całym świecie. Oczywiście nikt w Rosji nie pali się do tego, aby wyjaśnić ten tok rozumowania, ale istnienie szkodliwego oprogramowania, takiego jak Triton, wskazuje na przerażające możliwości nowych granic w tej „cyberwojnie”.

Nowe ataki Triton Malware

Chociaż FireEye nie ujawniło wszystkich dowodów, które doprowadziły ich do wniosków z Attribution Report, niedawno ogłosiło, że większość dowodów, które odkryli online, wskazujących na rosyjski obiekt, wydaje się być systematycznie usuwana, być może dodając wiarygodności ich wnioskom. Opublikowali jednak więcej szczegółów na temat taktyk, technik i procedur (TTP) stosowanych przez atakujących z użyciem Triton, co może pomóc śledczym i ekspertom ds. cyberbezpieczeństwa przewidzieć przyszłe ruchy i przeciwdziałać im.

Jeśli już o tym mowa, chociaż nie może dostarczyć zbyt wielu szczegółów, FireEye ogłosiło w kwietniu, że zostało wezwane do zbadania dodatkowego ataku tej samej grupy - ponownie w ośrodku infrastruktury krytycznej. Powiedzieli, że konkretne złośliwe oprogramowanie Triton nie było zaangażowane, ale nie wiemy, czy atakujący nie „ulepszyli” tego kod lub czy jest to coś zupełnie innego. W każdym razie zakładamy, że FireEye użył zidentyfikowanych TTP do przypisania nowych ataków do tej samej grupy. Często TTP mogą być używane do atrybucji, podobnie jak modus operandi seryjnego włamywacza, zabójcy lub innego przestępcy może pomóc powiązać przestępstwa lub zidentyfikować podejrzanego.

Chroń się dzięki widoczności

Cyberbezpieczeństwo jest stałą grą w kotka i myszkę między dobrymi i złymi, ale na szczęście całkiem możliwe jest wyprzedzenie większości exploitów - a nie poleganie na szczęściu lub niedoborach złośliwego oprogramowania lub czymkolwiek, co uratowało saudyjską fabrykę. Pierwszym krokiem jest uzyskanie widoczności w systemie i ustawienie natychmiastowych powiadomień o wszelkich zmianach w sieci i równie natychmiastowe ich badanie. Jest to szczególnie ważne teraz, ponieważ wydaje się, że stawka jest teraz nawet większa niż pieniądze - w istocie życie ludzkie może być zagrożone.