Triton prende di mira le industrie. Un altro “malware di stato”?

Dic 15, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0

Colpisce i sistemi che controllano i dispositivi industriali e sembra essere programmato per sabotare gli impianti come Stuxnet e Duqu.

L’esperienza insegna: il 99% dei pirati informatici hanno come obiettivo quello di mettersi in tasca qualche manciata (o un bel malloppo) di dollari. Quando si intercetta un malware che non sembra avere a che fare con carte di credito, Bitcoin o informazioni sensibili, quindi, è normale che si alzi qualche sopracciglio.

Nel caso di Triton, il nuovo malware individuato dai ricercatori di sicurezza in questi giorni, il dubbio è che si tratti dell’ennesimo “virus di stato” creato ad hoc per portare azioni di sabotaggio mirate.

Il malware, individuato da FireEye che ne descrive le caratteristiche in un report pubblicato su Internet, prende di mira i dispositivi SIS (Safety Instrumented System) Triconex, che negli impianti industriali hanno il compito di controllare il funzionamento di componenti critici (valvole, robot) per mantenerne l’attività entro parametri di sicurezza.

Tradotto in termini più semplici: Triton è programmato per provocare incidenti all’interno di impianti industriali, che potrebbero avere anche pesanti conseguenze a livello “fisico”.

I ricercatori di FireEye hanno individuato Triton “sul campo”, quando i sistemi di una società di cui non viene specificato nome o nazionalità ha subito un fermo di emergenza dei sistemi causato proprio dall’attacco del malware.

L’analisi di FireEye evidenzia come Triton sia un malware modulare, che include due componenti: Triton.exe e Library.zip. Stando a ciò che si legge nel report, l’eseguibile sfrutterebbe i dati contenuti nell’archivio compresso per eseguire i comandi diretti ai componenti Triconex.

Dispositivi come questo non sono proprio il genere di obiettivi che i normali pirati informatici prendono di mira solitamente.

Anche se non viene specificato il vettore di attacco usato (non è escluso che sia stata una forma di accesso fisico ai sistemi come già avvenuto nel caso di Stuxnet) i ricercatori di FireEye riassumono l’azione dei pirati in due fasi: la presa di controllo di un sistema SIS e l’installazione del framework di attacco.

Per fortuna i sistemi hanno reagito all’attacco avviando una procedura di fermo di emergenza che ha impedito danni più gravi. Stando a quanto emerge dal report, nel caso in cui l’attacco avesse avuto successo i danni fisici (forse anche in termini di vite umane) sarebbero stati decisamente “importanti”.

Le opzioni a disposizione degli autori del malware sono tre: la prima è quella di provocare un semplice arresto del sistema, mentre la seconda e la terza (più subdole) causerebbero condizioni di insicurezza nei processi produttivi, aprendo in buona sostanza la strada a incidenti.

Quello che è certo è che gli autori del malware hanno avuto modo di lavorare a lungo per creare Triton, utilizzando presumibilmente informazioni riservate riguardo alle tecnologie utilizzate dai dispositivi SIS Triconex.

I comandi utilizzati dal malware sono infatti trasmessi utilizzando il protocollo TriStation, cioè quello usato normalmente per gestire i controller SIS. Questo significa che hanno avuto la possibilità di lavorare sui dispositivi Qualcosa che ricorda molto da vicino Stuxnet, che i servizi segreti statunitensi e israeliani avrebbero sviluppato sfruttando per i loro test una replica della centrale per l’arricchimento dell’uranio che avevano intenzione di colpire.

Condividi l'articolo