A Violação de Segurança 'Triton Malware' está Infectando Mais Sites de InfraEstrutura
O Triton Malware foi descoberto pelos pesquisadores da FireEye. Foi visto visando os sistemas de controle Triconex pela Schneider Electric. Devido a um bug no sistema, o malware chegou. O ataque estava ligado ao Instituto Central de Pesquisa Científica de Química e Mecânica, em Moscou.
O que aconteceu a seguir é a publicação de um relatório da FireEye sobre mais uma instância de ver Tritão usado na internet, desta vez atacando usinas de energia e refinarias. Triton estava sendo utilizado para afetar os sistemas de instrumentos de segurança (SIS) em torno dessas instalações, aumentando o risco de vazar materiais tóxicos, pegar fogo, explosões e assim por diante.
Com o segundo caso, foi revelado que os ataques de Triton estavam em andamento desde já em 2014, mostrando um conjunto de ferramentas que mostravam o quão bem os operadores Triton estavam fazendo seu trabalho.
O Que Torna o Triton Perigoso?
O detalhe mais perigoso sobre a segmentação dos sistemas SIS é o fato de deixar usinas e instalações não apenas em um estado de desligamento, mas também torná-las permanentemente inoperantes, potencialmente matando pessoas dentro delas ou perto delas. Assim como os casos envolvendo o Stuxnet e os chamados "ataques dos sandworms" dos anos anteriores, atribuídos à Rússia, isso pode ser considerado um ato de sabotagem industrial. Só em 2018, esse tipo de ataque causou prejuízos de US $ 10 bilhões em infraestruturas em todo o mundo.
Acontece que há mais incidentes do que este e, embora as origens dos ataques tenham sido atribuídas ao instituto russo, atualmente não há informações suficientes para se fazer uma avaliação. O instituto pode ser contratado para outro agente de ameaça, ou seus computadores podem ser usados por alguém não afiliado a coisas em nível governamental, como um indivíduo privado ou indivíduos.
Falta de Detalhes sobre o Ataque
O relatório divulgado pela FireEye não menciona algumas coisas, como o tempo do ataque, quanto tempo durou, se houve algum dano e se o malware estava atrás do mesmo sistema Triconex, como era o caso antes disso. A porta-voz da FireEye se recusou a responder perguntas sobre detalhes do ataque.
Por outro lado, o relatório inclui detalhes técnicos sobre o conjunto de ferramentas que eles descobriram, além de como os invasores estão usando essas ferramentas para permanecerem ocultos em uma rede infectada. O relatório também mostra como as intrusões foram identificadas. A FireEye pediu aos pesquisadores e à segurança cibernética das empresas para ver se os dados correspondem aos ataques que ocorreram anteriormente.