به گزارش
گرداب، بدافزار تریتون (Triton) در سال 2017، به شرکت نفت و گاز پترو رابغ، از زیرساختهای پتروشیمی عربستان سعودی حمله کرده بود.
محققان شرکت فایرآی (Fire Eye)، در زمان برگزاری اجلاس تحلیل امنیتی کسپراسکی 2019 (SAS 2019) اعلام کردند که این بدافزار -که با نام تریسیس (Trisis) نیز شناخته میشود- دومین قربانی خود را گرفته است. تحلیلگران شرح دادند که سامانهی کنترل صنعتی (ICS) مورد حمله واقع شده، در آسیای غربی قرار دارد؛ اما از ذکر کردن نام شرکت قربانی خودداری کردند. آنها همچنین ادعا میکنند؛ مدارکی در اختیار دارند که ثابت میکند مهاجمان، هکرهای وابسته به دولت روسیه هستند.
تریتون به کنترلهای سامانههای تجهیزات امنیتی (SIS) حمله میکند. یک مجموعه از کنترلهای سختافزاری و نرمافزاری که در سامانههای پردازش بحران به کار گرفته میشود. این ابزارها، در زمان وقوع حوادثی مانند: آتشسوزی و انفجار، به منظور جلوگیری از آسیب رسیدن به تأسیسات و خطرات جانی، سامانهها را خاموش و مجموعه عملیات را متوقف میکنند.
تریسیس در حمله اول، ابزارهای تریکانکس (Triconex) تولیدشده توسط شرکت اشنایدر الکتریک (Schneider Electric) را مورد حمله قرار داده بود. در این تهاجم، تریتون خود را به عنوان یک برنامهی کاربردی قانونی معرفی میکرد که برای خواندن لاگهای سامانه از آن استفاده میشود. به نظر میرسد این بدافزار، با غیرفعال کردن راهکارهای ایمنی، امکان انجام دادن حملات فیزیکی به زیرساختها را فراهم میکند. حتی ممکن است درصورت موفقیت، آسیب جانی در پیش باشد. این نرمافزار مخرب، با خاموش کردن فرآیند تریکانکس، در حالتهای امن قادر بود در رشته عملیات و خدمات آن شرکت، اختلال ایجاد کند.
از نظر کارشناسان، توانایی تریتون برای ایجاد آسیبهای فیزیکی به زیرساختها، آن را تبدیل به رقیبی برای استاکس نت و اینداسترویر (Industroyer) کرده است که به ترتیب، به تأسیسات هستهای ایران و شبکه برق اوکراین حمله کرده بودند.
مهاجمان در حملهی دوم، بدافزار خود را اصلاح کردند و از حدود یک سال قبل، به شبکهی ایستگاه کاری مهندسی هدف خود نفوذ نمودند. هکرها در طول این دوره، با اولویتبندی امنیت عملیات، از شناسایی شدن خود، جلوگیری به عمل آورده بودند.
بازیگران تریتون، به منظور نفوذ به سامانه کنترل صنعتی، از یک الگوی رایج بهره میگیرند. این روش، جابهجایی از فناوری یک شرکت به شبکههای فناوری عملیاتی (OT)، به واسطه سامانههای در دسترس هر 2 محیط است. تجزیهوتحلیل فایرآی نشان میدهد که در حملهی دوم، پس از نفوذ اولیه به شبکه شرکت، هکرها روی دسترسی به بستر فناوری عملیاتی تمرکز کردند. این افراد، از تعداد فراوانی ابزارهای سفارشی سازی شده، بهره گرفته بودند که در گذشته مشاهده نشده بود.
تعدادی از ابزارهای سفارشیسازی شده بالا، با تمرکز روی آنتیویروسها، سعی در پنهانسازی تریتون داشتند. همچنین تعدادی از ابزارهای سفارشیسازی شده و رایج مورد بهرهبرداری قرار گرفته، با نامهای «SecHack» و «Mimikatz»، وظیفه سرقت اعتبارنامهها را برعهده داشته، یک خروجی تقریباً مشابه را ارائه میدهند.
محققان فایرآی، در زمان تحقیقات متوجه شدند که تعدادی از ابزارهای مورد استفاده در تریتون، از سال 2014 درحال تکامل بودهاند.
فایرآی اشاره کرد که مهاجمان از اجرای فعالیتهای جاسوسی آشکار مانند استفاده از کی لاگر، ابزار گرفتن اسکرین شات، تشخیص محل فایلها، یا فیلتر کردن حجم عظیم دادهها خودداری کردهاند. در مقابل، بیشتر ابزارها، روی شناسایی شبکه، تحرکات جانبی و حفظ حضور در محیط هدف، تمرکز داشتند.
مهاجم به سامانه کنترل توزیع شده (DCS) دسترسی پیدا و حضور خود را در آن تثبیت میکند. آنها از این دسترسی، برای یادگیری فرآیندهای عملیاتی، سرقت دادههای حساس فیلتر نشده، یا دستکاری اطلاعات بهره نمیگیرند؛ بلکه به منظور دستیابی به سامانههای تجهیزات امنیتی، از آن استفاده میکنند. از این لحظه به بعد، هکر با استفاده از چارچوب حمله تریتون، روی بارگذاری درب پشتی متمرکز میگردد.
پژوهشگران از بیان این که شدت آسیب در تهاجم دوم چقدر است، خودداری کردند.