![Siri uitschakelen op iOS 10](/f/2a76b3be0c1aa45fe779677a1ecda773.png?width=100&height=100)
Onlangs hebben beveiligingsonderzoekers nog een gevaarlijk stuk malware onthuld dat is gericht op industriële controlesystemen (ICS). De besmettelijke code genaamd Triton en is ook bekend als Tisis, ontworpen om gezondheids- en levensgevaarlijke ongevallen te veroorzaken. Dit zeldzame type malware is in het Midden-Oosten verschenen en lijkt de mogelijkheid te hebben om het industriële veiligheidssysteem uit te schakelen dat wordt gebruikt om mensenlevens te redden.
In een rapport gepubliceerd door onderzoekers van de divisie Mandiant wordt aangegeven dat aanvallers met staatssteun malware gebruikten om fysieke schade aan een organisatie toe te brengen. Maar er is geen melding gemaakt van de organisatie of van de hackgroep.
De ICS-malware is ontworpen om Triconex Safety Instrumented System (SIS)-controllers van Schneider Electric te verwijderen. Een onafhankelijk controlesysteem dat de prestaties van kritieke systemen bewaakt en in staat is om automatisch onmiddellijk actie te ondernemen als er risico's worden gedetecteerd.
Lees ook: Vijf belangrijke functies vereist in een antivirussoftware voor MAC
Triton beheert het geregistreerde TriStation-protocol, een engineering- en onderhoudstool die wordt gebruikt door Triconex SIS-producten. Al deze informatie is niet gedocumenteerd, maar het lijkt erop dat aanvallers deze hebben omgekeerd tijdens het maken van de malware.
"De aanvaller kreeg externe toegang tot een SIS-engineeringwerkstation en zette het TRITON-aanvalsframework in om de SIS-controllers te herprogrammeren." Dat zeiden FireEye-onderzoekers.
Hackers maskeren de kwaadaardige code met een legitieme Triconex Trilog-toepassing. Dit helpt de kwaadaardige code Tisis te installeren op een SIS-engineeringwerkstation met het Windows-besturingssysteem.
Lees ook: Keyloggers: hoe blijf je beschermd?
De nieuwste versie van TRITON-malware heeft veel functies, zoals geanalyseerd door de onderzoekers. Het kan programma's, individuele functies lezen en schrijven en de status van de SIS-controller opvragen.
“Tijdens het incident kwamen sommige SIS-controllers in een mislukte veilige staat, die automatisch werd afgesloten het industriële proces en zette de asset owner ertoe aan een onderzoek te starten”, aldus de onderzoekers zei.
Met TRITON kan een aanvaller SIS-logica zo herprogrammeren dat het een proces afsluit dat in veilige staat wordt uitgevoerd. Een dergelijke instelling veroorzaakt geen fysieke schade, maar organisaties zullen zeker te maken krijgen met financiële verliezen als gevolg van procesonderbrekingen.
Daarnaast kunnen de slechteriken SIS-logica herprogrammeren en ernstige levensbedreigende schade veroorzaken door: onveilige omstandigheden laten werken of door opzettelijk de processen te veranderen om een onveilige toestand te bereiken eerste.
“De aanvaller zette TRITON in kort nadat hij toegang had gekregen tot het SIS-systeem, wat aangeeft dat ze… de tool vooraf gebouwd en getest, waarvoor toegang nodig is tot hardware en software die niet op grote schaal beschikbaar is beschikbaar."
Lees ook: Scarab Ransomware richt zich op e-mailaccounts
Onderzoekers zijn er zeker van dat Triton zich ontwikkelt als een ernstige bedreiging voor kritieke infrastructuren, zoals: Stuxnet, IronGate en Industroyer, omdat het de mogelijkheid heeft om fysieke schade aan te richten of uit te schakelen operaties.