Group IB

Вредоносное ПО Triton все еще представляет угрозу мировому энергетическому сектору

30.03.2022
Вредоносное ПО Triton все еще представляет угрозу мировому энергетическому сектору

ФБР США предупредило мировую энергетическую отрасль о том, что вредоносное ПО Triton все еще представляет угрозу, и расслабляться пока рано, сообщает SecurityLab.

Triton (также известно как Trisis и HatMan) предназначено для того, чтобы «заставлять физические системы безопасности прекращать работу или работать небезопасным образом», сообщается в уведомлении ФБР.

В частности, вредоносное ПО Triton использовалось в атаке на нефтехимический завод на Среднем Востоке в 2017 году, в осуществлении которой США обвиняют российский Центральный научно-исследовательский институт химии и механики (ЦНИИХМ). На прошлой неделе Министерство юстиции США рассекретило обвинение, выдвинутое против сотрудника ЦНИИХМ Евгения Гладких и еще троих гражданин России, обвиняемых в кибератаках на мировой энергетический сектор.

В атаке 2017 года Triton использовался для атак на инструментальную систему безопасности Schneider Electric Triconex, которая инициирует процедуры безопасного выключения оборудования в случае чрезвычайной ситуации. Злоумышленники получили первоначальный доступ, а затем с помощью бокового перемещения продвигались внутри IT- и OT-сетей, чтобы добраться до инструментальной системы безопасности.

Вредоносное ПО модифицировало прошивку в памяти контроллеров безопасности Triconex Tricon, в результате чего в случае возникновения чрезвычайной ситуации процедуры безопасного отключения не инициировались бы, и предприятию грозила бы серьезная опасность, включая возможные человеческие жертвы.

Согласно уведомлению ФБР, ЦНИИХМ до сих пор атакует мировой энергетический сектор.

«Судя по шаблону атаки и вредоносному ПО, использовавшемуся в первой атаке Triton, такие ж атаки могут осуществляться и на другие системы безопасности», - предупредило ФБР.

Хотя компания Schneider Electric исправила эксплуатировавшуюся в атаке уязвимость в контроллерах Tricon, их более старые, все еще уязвимые версии до сих пор используются на предприятиях.

Владельцы и операторы потенциально уязвимых активов критической инфраструктуры должны регулярно проводить проверку и мониторинг своих инструментальных систем безопасности и работающего с ними персонала, а также отрабатывать планы на случай непредвиденных обстоятельств.

Кроме того, ФБР рекомендует использовать однонаправленные шлюзы для приложений, получающих данные от систем безопасности, внедрять процедуры управления изменениями для ключевых позиций рабочего состояния контроллера безопасности, развертывать системы безопасности в изолированных сетях, а также проверять журналы сетевых устройств, web-серверов и сторонних инструментов на наличие признаков разведывательной деятельности на ранней стадии.