Osoby odpowiadające za bezpieczeństwo sieci przemysłowych powinny mieć się na baczności i uważać na malware Triton. Ponownie bierze on na cel krytyczną infrastrukturę przemysłową, w szczególności elektrownie i rafinerie. Zagrożenie może doprowadzić do dezaktywacji infrastruktury wspierającej, np. instalacji schładzających. Rezultatem skutecznie przeprowadzonego ataku Tritona może być nie tylko zaburzenie funkcjonowania przedsiębiorstwa, ale także fizyczne uszkodzenie obiektu. To z kolei może skutkować powstaniem zagrożenia dla życia i zdrowia pracowników oraz mieszkających w pobliżu ludzi.

Eksperci ds. cyberbezpieczeństwa poinformowali, że w minionych tygodniach udaremniono kolejny atak z wykorzystaniem Tritona. Wcześniejszy miał miejsce w 2017 roku, kiedy oprogramowanie to zostało użyte przeciwko saudyjskiej instalacji petrochemicznej. Na całe szczęście nie doszło wtedy do poważnych szkód, jednak skutki incydentu mogły być poważne. Piotr Zielaskiewicz, product manager rozwiązań Stormshield w firmie DAGMA, tłumaczy, że mogło wtedy dojść do potężnej eksplozji oraz zanieczyszczenia obszaru wokół instalacji petrochemicznej.

Badacze, którzy zidentyfikowali ostatni incydent, nie zdradzili jakie przedsiębiorstwo zostało ostatnio zaatakowane. Podkreślono jedynie, że była to instalacja o znaczeniu strategicznym. Ważniejszy jest jednak sam fakt dokonania ataku. Niewykluczone, że wkrótce możemy usłyszeć o kolejnych atakach Tritona.

Groźne zagrożenie infiltrujące przemysł

Zagrożenie atakuje konkretne podmioty i realizuje infekcję według precyzyjnego, konsekwentnie realizowanego planu. W przypadku ujawnionych do tej pory incydentów, przestępcy, którzy wykorzystali Tritona, mieli dostęp do wewnętrznej sieci zaatakowanych przedsiębiorstw na długo przed podjęciem działań. Mówimy tu nawet o kilku latach. Dodatkowy czas wykorzystywany był na szukanie luk w zabezpieczeniach oraz ostrożną infiltrację infrastruktury. Wykrycie napastników, w przypadku tak prowadzonej operacji, jest praktycznie niemożliwe. Zaatakowane podmioty dowiadują się o zajściu zazwyczaj dopiero w momencie, gdy wkracza ona w finalną fazę. Bardzo często jest już wtedy zbyt późno na podjęcie skutecznych działań obronnych.

Jak uchronić przedsiębiorstwo przed Tritonem?

W opinii Piotra Zielaskiewicza ataki targetowane, wymierzone przeciwko konkretnym instytucjom zawsze stanowią poważne wyzwanie dla specjalistów zajmujących się bezpieczeństwem IT. Skutecznie przeprowadzone, wykorzystują słabe strony danego systemu bezpieczeństwa i są bardzo trudne do wykrycia. Samo oddzielenie kluczowych elementów infrastruktury IT od głównej sieci, w wypadku Tritona okazało się niewystarczające. Pomocne w takich przypadkach może okazać się jednak zaimplementowane w sieci rozwiązania typu Next Generation Firewall i UTM. Ważne tylko, aby takie zabezpieczenie było w wersji, która podoła dość wymagającym warunkom przemysłowym, tzn. będzie odporne na zwiększone zapylenie czy wyższą temperaturę.

Źródło: DAGMA IT