بدافزار TRITON زیرساخت‌های حیاتی را مورد هدف قرار می‌دهد که می‌تواند باعث آسیب فیزیکی آن‌ها شود.

محققان امنیتی یک بدافزار مخرب دیگر را کشف کردند که به‌طور خاص برای هدف قرار دادن سیستم‌های کنترل صنعتی^(۱) طراحی شده است. این بدافزار دارای پتانسیل به خطر انداختن سلامت و زندگی افراد است.

این بدافزار که Triton نامیده شده است، به‌عنوان Trisis نیز شناخته می‌شود و برای هدف قرار دادن کنترل‌کننده‌های سیستم ایمنی ابزار^(۲) Triconex طراحی شده است که توسط Schneider Electric که یک شرکت کنترل سیستم مستقل است تولید شده است. این شرکت به‌طور مستقل عملکرد سیستم‌های حیاتی را نظارت می‌کند و در صورت تشخیص وضعیت خطرناک، به‌طور خودکار اقدامات فوری را انجام می‌دهد.

محققان بخش Mandiant از شرکت امنیتی FireEye یک گزاش در روز پنج‌شنبه ۱۴ دسامبر ۲۰۱۷ منتشر کردند[۱] که ادعا کرده بود مهاجمان تحت حمایت دولت^(۳)، از تروجان Triton برای ایجاد آسیب فیزیکی به یک سازمان استفاده می‌کنند.

در این گزارش نام سازمان هدف قرار داده‌شده آورده نشده است و محققان این حمله را به هیچ‌یک از گروه‌های معروف از مهاجمان تحت حمایت دولت نسبت نداده‌اند.

بر طبق یک تحقیق جداگانه که توسط شرکت امنیت سایبری Dragos انجام شده است و این بدافزار را Trisis نامیده‌اند، این حمله علیه یک سازمان صنعتی در خاورمیانه استفاده شده است[۲].

Triton دارای پروتکل اختصاصی TriStation است که یک ابزار مهندسی و نگهداری است که توسط محصولات Triconex SIS مورداستفاده قرار می‌گیرد و به‌طور عمومی مستند نشده است، که این موضوع نشان می‌دهد مهاجمان در هنگام ایجاد بدافزار مربوطه، این پروتکل را مهندسی معکوس کرده‌اند.

محققان FireEye دراین‌ارتباط می‌گویند: “مهاجم یک دسترسی از راه دور به یک workstation مهندسی SIS داشته است و چارچوب حمله TRITON را برای برنامه‌ریزی مجدد کنترل‌کننده‌های SIS پیاده‌سازی کرده است.”

مهاجمان Triton را بر روی یک workstation مهندسی SIS که دارای سیستم‌عامل ویندوز است، با استفاده از قانونی جلوه دادن آن به‌عنوان نرم‌افزار Triconex Trilog، پیاده‌سازی کرده‌اند.

نسخه فعلی بدافزار TRITON که محققان آن را تجزیه‌وتحلیل کرده بودند، دارای ویژگی‌هایی مانند توانایی خواندن و نوشتن برنامه‌ها، توانایی خواندن و نوشتن توابع خاص و پرس‌وجو^(۴) از وضعیت کنترل‌کننده SIS هستند.

محققان در این رابطه می‌گویند: “در حین این حادثه، برخی از کنترل‌کننده‌های SIS وارد یک حالت ایمنِ ناموفق شدند که به‌طور خودکار روند فرایند را متوقف کرده و مالکِ دارایی^(۵) را برای آغاز تحقیق فراخوانده است.”

با استفاده از TRITON، مهاجم به‌طورمعمول می‌تواند منطق^(۶) SIS را مجدداً برنامه‌ریزی کند تا به‌اشتباه فرایند را متوقف کند که درواقع در حالت ایمن قرار دارد. اگرچه چنین سناریویی آسیب‌های فیزیکی ایجاد نمی‌کند، اما سازمان‌ها به علت ازکارافتادن فرایندهایشان، می‌توانند با خسارت مالی مواجه شوند.

علاوه بر این، مهاجمان همچنین می‌توانند آسیب‌های شدید تهدیدکننده زندگی را از طریق برنامه‌ریزی مجدد منطق SIS ایجاد نمایند تا شرایط غیر ایمن را حفظ کنند یا اینکه فرایندها را برای دستیابی به وضعیت ناامن اول عمداً دست‌کاری کنند.

مدت کوتاهی پس از دسترسی به سیستم SIS، این مهاجم بدافزار TRITON را پیاده‌سازی کرده است که این امر نشان می‌دهد که این ابزار از قبل ساخته شده بوده و مورد آزمایش قرار گرفته بوده است که این امر نیاز به دسترسی به سخت‌افزار و نرم‌افزارهایی دارد که به‌طور گسترده در دسترس نیست.

محققان معتقدند TRITON به دلیل توانایی‌هایش در ایجاد آسیب فیزیکی یا تعطیل کردن عملیات، به‌عنوان یک تهدید جدی برای زیرساخت‌های حیاتی، درست مانند Stuxnet، IronGate و Industroyer به‌حساب می‌آید [۳-۵].

محققان Symantec نیز تحلیل مختصری را در مورد این بدافزار ارائه کرده‌اند[۶].

منابع

[۱]https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

[۲] https://dragos.com/blog/trisis/TRISIS-01.pdf

[۳] https://thehackernews.com/2014/06/stuxnet-like-havex-malware-strikes.html

[۴] https://thehackernews.com/2016/06/irongate-stuxnet-malware.html

[۵] https://thehackernews.com/2017/06/electric-power-grid-malware.html

[۶] https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics

[۷] https://thehackernews.com/2017/12/triton-ics-scada-malware.html

(۱) industrial control systems (ICS)
(۲) Safety Instrumented System (SIS)
(۳) state-sponsored
(۴) query
(۵) asset
(۶) logic