Wirus komputerowy Triton może doprowadzić do wybuchu elektrowni!
Eksperci ds. cyberbezpieczeństwa donoszą o kolejnym incydencie z wykorzystaniem malware’u Triton, który przed rokiem sparaliżował saudyjską instalację petrochemiczną. Najnowszy atak stanowi najprawdopodobniej element szeroko zakrojonej kampanii hakerskiej, skierowanej przeciwko obiektom przemysłowym. W opinii Piotra Zielaskiewicza, product managera rozwiązań Stormshield, skutki dla instytucji przemysłowych mogą być poważne. Ekspert radzi, jak zabezpieczyć firmę przed tego typu zagrożeniami.
Osoby odpowiadające za bezpieczeństwo sieci przemysłowych powinny mieć się na baczności i uważać na malware Triton. Ponownie bierze on na cel krytyczną infrastrukturę przemysłową, w szczególności elektrownie i rafinerie. Zagrożenie może doprowadzić do dezaktywacji infrastruktury wspierającej, np. instalacji schładzających. Rezultatem skutecznie przeprowadzonego ataku Tritona może być nie tylko zaburzenie funkcjonowania przedsiębiorstwa, ale także fizyczne uszkodzenie obiektu. To z kolei może skutkować powstaniem zagrożenia dla życia i zdrowia pracowników oraz mieszkających w pobliżu ludzi.
To kolejny atak malware’u Triton
Eksperci ds. cyberbezpieczeństwa poinformowali, że w minionych tygodniach udaremniono kolejny atak z wykorzystaniem Tritona. Ostatni zanotowany atak tego wirusa miał miejsce w 2017 roku, kiedy oprogramowanie to zostało użyte przeciwko saudyjskiej instalacji petrochemicznej. Na całe szczęście nie doszło wtedy do poważnych szkód, jednak skutki incydentu mogły być poważne.
- Według czarnego scenariusza mogło wtedy dojść do potężnej eksplozji oraz zanieczyszczenia obszaru wokół instalacji petrochemicznej. Stanowiłoby to poważne zagrożenie zarówno dla jej pracowników, jak i okolicznej społeczności. Wydawało się, że niebezpieczeństwo związane z Tritonem zostało zażegnane, jednak w ostatnich dniach dotarły do nas informacje o kolejnym udaremnionym ataku tego zagrożenia - tłumaczy Piotr Zielaskiewicz, product manager rozwiązań Stormshield w firmie DAGMA, specjalizującej się w bezpieczeństwie IT.
Badacze, którzy zidentyfikowali ostatni incydent, nie zdradzili jakie przedsiębiorstwo zostało zaatakowane przez hakerów. Podkreślono jedynie, że była to instalacja o znaczeniu strategicznym. Ważniejszy jest jednak sam fakt dokonania ataku. Świadczy on o tym, że Triton przez cały czas pozostaje w użyciu. Niewykluczone, że wkrótce możemy usłyszeć o kolejnych atakach Tritona.
Groźne zagrożenie infiltrujące przemysł
Zagrożenie atakuje konkretne podmioty i realizuje infekcję według precyzyjnego, konsekwentnie realizowanego planu. W przypadku ujawnionych do tej pory incydentów, hakerzy, którzy wykorzystali Tritona, mieli dostęp do wewnętrznej sieci zaatakowanych przedsiębiorstw na długo przed podjęciem działań. Mówimy tu nawet o kilku latach. Dodatkowy czas wykorzystywany był na szukanie luk w zabezpieczeniach oraz ostrożną infiltrację infrastruktury. Wykrycie napastników, w przypadku tak prowadzonej operacji, jest praktycznie niemożliwe. Zaatakowane podmioty dowiadują się o zajściu zazwyczaj dopiero w momencie, gdy wkracza ona w finalną fazę. Bardzo często jest już wtedy zbyt późno na podjęcie skutecznych działań obronnych.
Jak ochronić przedsiębiorstwo przed Tritonem?
W opinii Piotra Zielaskiewicza ataki targetowane, wymierzone przeciwko konkretnym instytucjom, zawsze stanowią poważne wyzwanie dla specjalistów zajmujących się bezpieczeństwem IT. Skutecznie przeprowadzone, wykorzystują słabe strony danego systemu bezpieczeństwa i są bardzo trudne do wykrycia.
- Samo oddzielenie kluczowych elementów infrastruktury IT od głównej sieci, w wypadku Tritona okazało się niewystarczające. Pomocne w takich przypadkach może okazać się jednak zaimplementowane w sieci rozwiązania typu Next Generation Firewall i UTM. Ważne tylko, by takie zabezpieczenie było w wersji, która podoła dość wymagającym warunkom przemysłowym, tzn. będzie odporne na zwiększone zapylenie czy wyższą temperaturę - komentuje Piotr Zielaskiewicz.