• صفحه نخست
  • اخبار
  • حمله بدافزار جدید"TRITON" و بروز اختلال عملیاتی در زیرساخت‌های حیاتی صنعتی

حمله بدافزار جدید"TRITON" و بروز اختلال عملیاتی در زیرساخت‌های حیاتی صنعتی

۱۳۹۶/۱۰/۱۹امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛چندی پیش محققان امنیتی بدافزار جدیدی کشف نموده اند که به طور خاص سیستمی صنعتی را مورد هدف قرار داده است. این بدافزار به گونه ای خطرناک است که می تواند زندگی و سلامت افراد را نیز در معرض خطر قرار دهد.

این بدافزار که Triton نام گرفته است به منظور کنترل کننده های سیستم ایمنی ابزار Triconex که یک کمپانی کنترل سیستم مستقل است، ایجاد و منتشر شده است. Triconex چه کمپانی است؟ این شرکت به طور کاملا مستقل بر سیستم های حیاتی نظارت دارد و در صورت شناسایی هر گونه خطری فورا به صورت اتوماتیک اقدامات امنیتی و فوری را به انجام می‌رساند.

محققان شرکت امنیتی FireEye در گزارشی در 14 ماه سپتامبر 2017 مدعی شده بودند که مجرمان Triton را برای آسیب های فیزیکی به یک سازمان مورد استفاده قرار می دهند.

نام سازمانی که مجرمان آن را مورد هدف قرار داده اند و البته افرادی که پشت این حمله بودند به هیچ عنوان در این گزارش لحاظ نشده است. اما تنها چیزی که از این حمله مشخص و واضح بوده این است که این حمله علیه سازمانی در خاومیانه صورت گرفته است.

تروجان Triton دارای پروتکل اختصاصی با نام TriStation است که توسط محصولات Triconex SIS مورداستفاده قرار گرفته است. هنوز خیلی موارد در مورد این تروجان مبهم است اما کارشناسان امنیتی اینطور حدس می زنند که مجرمان پشت این حمله هنگام ایجاد بدافزار از مهندسی معکوس برای ساخت پروتکل آن استفاده کرده اند.

سیستم عملکرد بدافزار چگونه است؟

طبق گفته ی محققان مجرمان از یک دسترسی از راه دور به یک workstation مهندسی SIS استفاده کرده اند و حمله ی تروجان را برای کنترل کننده های  SISپیاده‌سازی کرده اند.

نسخه ی منتشر شده ی فعلی مخرب TRITON که محققان آن را آنالیز کرده اند قادر است برنامه ها را و حتی قادر است توابع خاص و پرس و جوها را از وضعیت کنترل‌کننده SIS بخواند و بنویسد.

ICS Reference Architecture

طبق گفته ی محققان، برخی از کنترل‌کننده‌ های SIS توانسته بودند به‌طور خودکار روند فرایند را متوقف سازند. با استفاده از این تروجان مجرمان می توانند SIS را مجدداً راه اندازی کنند. اگر چه در چنین حالت هایی آسیب فیزیکی چندانی به دستگاه ها وارد نمی شود اما به دلیل از کار افتادن فرآیندها سازمان ها با خسارات مالی شدیدی مواجه می شوند.

ICS Reference Architecture

علاوه بر خسارت مالی این تروجان، مجرمان می توانند آسیب‌ های شدید تهدیدکننده‌ای را از طریق برنامه‌ ریزی مجدد منطق SIS ایجاد نمایند تا شرایط غیر ایمن را حفظ کنند یا اینکه فرایندها را برای دستیابی به وضعیت ناامن اول عمداً دست‌کاری کنند.

TRITON

چندی پس از دسترسی به سیستم SIS مجرمان، بدافزار طراحی شده‌ی TRITON را پیاده سازی کردند تا عملیات خرابکارانه‌ی خود را ادامه دهند. این رفتار مجرمان نشان می دهد که این ابزار مخرب از قبل ساخته شده و مورد آزمایش آن‎ها قرار گرفته است.

تحلیل‌های فنی:

TRITON

محققان بر این باور هستند که TRITON به دلیل توانایی های بالایی که در ایجاد آسیب های فیزیکی و حتی متوقف ساختن عملیات و پروژه‌ها دارد، یک تهدیدی حیاتی و جدی درست همانند بدافزارهای Stuxnet و Industroyer به حساب می آید.

منبع: کسپرسکی آنلاین(ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.