Bezpieczeństwo

Triton nie zaatakuje Twojego komputera, ale odczujesz skutki jego działania

JS
Jakub Szczęsny
1

Cyberzagrożenia, które nie są stworzone do działania na komputerach "zwykłych użytkowników", lecz do atakowania krytycznych infrastruktur to żadne novum, jednak należy zwrócić uwagę na Tritona, który zaczyna rozprzestrzeniać się coraz dalej. Jego celem są newralgiczne elementy takie jak ośrodki energetyczne.

MIT Technology Review opisuje historię Juliana Gutmanisa, eksperta ds. cyberbezpieczeństwa, który został wezwany do Arabii Saudyjskiej, gdzie doszło do infekcji złośliwym oprogramowaniem w zakładzie petrochemicznym w 2017 roku. Hakerom udało się objąć obszarem działania mechanizmy bezpieczeństwa, które były ostatnią linią ochrony przed katastrofą. W niebezpiecznych sytuacjach przejmowały one kontrolę nad kompleksem przywracając przeprowadzane procesy do bezpiecznego stanu lub wyłączając je kompletnie.

Gdyby cyberprzestępcom udało się w pełni zaatakować kompleks i zdezaktywować systemy bezpieczeństwa, mogłoby dojść do katastrofy ekologicznej. Na szczęście, w trakcie prób doprowadzenia do niebezpiecznych sytuacji, instalacje odpowiedzialne za utrzymanie funkcjonowania zakładu wyłączały się kompletnie z powodu błędu w oprogramowaniu. W trakcie analiz wykazano, że próbowano wykorzystać podatności w produkcie Triconex firmy Schneider Electric - systemie bezpieczeństwa. Ten jest wykorzystywany nie tylko w Arabii Saudyjskiej, ale również w innych krajach. Hakerzy mogli dzięki podatności doprowadzić do wydzielenia się siarkowodoru, który mógł spowodować śmierć pracowników zakładu, albo spowodować eksplozję gazu. W połączeniu z niebezpiecznymi substancjami w placówce mogło to sprowadzić na pobliski teren katastrofę ekologiczną.

Triton rozprzestrzenia się po świecie

Choć od tej infekcji minęło nieco ponad rok, firma Dragos, w której pracuje Gutmanis ma dowody na to, że Triton był wykorzystywany w innych atakach i te cały czas są konstruowane, również w Ameryce Północnej. Hakerzy stojący za tym malware'em najprawdopodobniej dysponowali dokładnie takim samym urządzeniem jak zaatakowane zakłady (czyli Triconex) i zbadali wszystkie możliwe drogi dostania się do niego oraz wyłuskali z niego podatności. Na tej podstawie stworzyli Tritona, który do dziś służy im do atakowania newralgicznych infrastruktur.

Triton nie polega jednak na szczególnie wyrafinowanym modelu dystrybucji: najprawdopodobniej jest "przemycany" do takich firm na zewnętrznym nośniku podpinanym do komputera - stamtąd już przenosi się z maszyny na maszynę poszukując takich urządzeń podłączonych do lokalnej sieci jak właśnie Triconex. Co więcej, istnieją dowody na to, że Triton został opracowany... w rosyjskim laboratorium przez niezwykle "cwanych" cyberprzestępców, którzy mają ogromną wiedzę na temat kontrolerów bezpieczeństwa takich jak Triconex.

Od dawna wiadomo, że prowadzone są wojny w cyberprzestrzeni, ale rzadko zastanawiamy się jak ogromny zasięg mają takie działania i jak bardzo mogą wpływać również na nas. Triton to tylko jedno z takich cyberzagrożeń - najprawdopodobniej nigdy nie znajdzie się ono w naszym komputerze i nie odczujemy skutków jego działania bezpośrednio. Ale w przypadku ogromnej awarii energetycznej związanej z działalnością hakerów - z całą pewnością bylibyśmy w stanie ucierpieć na takim incydencie.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: