بدافزار "TRITON" و بروز اختلال در زیرساخت‌های صنعتی - امنیت - اخبار

بدافزار "TRITON" و بروز اختلال در زیرساخت‌های صنعتی

دسته : امنیت در تاريخ ۱۳۹۶/۱۰/۲۰ ۱۱:۳۵:۲۷ (683 بار خوانده شده)
تروجان Triton دارای پروتکل اختصاصی با نام TriStation است که توسط محصولات Triconex SIS مورداستفاده قرار گرفته است.برای دیدن تصویر اصلی در صفحه جدید کلیک کنید.

چندی پیش محققان امنیتی بدافزار جدیدی کشف نموده‌اند که به طور خاص سیستمی صنعتی را مورد هدف قرار داده است. این بدافزار به گونه‌ای خطرناک است که می‌تواند زندگی و سلامت افراد را نیز در معرض خطر قرار دهد.

به گزارش ایتنا از کسپرسکی آنلاین، این بدافزار که Triton نام گرفته است به منظور کنترل کننده‌های سیستم ایمنی ابزار Triconex که یک کمپانی کنترل سیستم مستقل است، ایجاد و منتشر شده است. Triconex چه کمپانی است؟ این شرکت به طور کاملا مستقل بر سیستم‌های حیاتی نظارت دارد و در صورت شناسایی هر گونه خطری فورا به صورت اتوماتیک اقدامات امنیتی و فوری را به انجام می‌رساند.

محققان شرکت امنیتی FireEye در گزارشی در 14 ماه سپتامبر 2017 مدعی شده بودند که مجرمان Triton را برای آسیب‌های فیزیکی به یک سازمان مورد استفاده قرار می‌دهند.
نام سازمانی که مجرمان آن را مورد هدف قرار داده‌اند و البته افرادی که پشت این حمله بودند به هیچ عنوان در این گزارش لحاظ نشده است. اما تنها چیزی که از این حمله مشخص و واضح بوده این است که این حمله علیه سازمانی در خاومیانه صورت گرفته است.

تروجان Triton دارای پروتکل اختصاصی با نام TriStation است که توسط محصولات Triconex SIS مورداستفاده قرار گرفته است. هنوز خیلی موارد در مورد این تروجان مبهم است اما کارشناسان امنیتی اینطور حدس می زنند که مجرمان پشت این حمله هنگام ایجاد بدافزار از مهندسی معکوس برای ساخت پروتکل آن استفاده کرده‌اند.

سیستم عملکرد بدافزار چگونه است؟
طبق گفته محققان مجرمان از یک دسترسی از راه دور به یک workstation مهندسی SIS استفاده کرده‌اند و حمله تروجان را برای کنترل کننده‌های SIS پیاده‌سازی کرده‌اند.
نسخه منتشر شده فعلی مخرب TRITON که محققان آن را آنالیز کرده‌اند قادر است برنامه‌ها را و حتی قادر است توابع خاص و پرس‌وجوها را از وضعیت کنترل‌کننده SIS بخواند و بنویسد.

طبق گفته محققان، برخی از کنترل‌کننده‌‌های SIS توانسته بودند به‌طور خودکار روند فرایند را متوقف سازند. با استفاده از این تروجان مجرمان می‌توانند SIS را مجدداً راه اندازی کنند. اگر چه در چنین حالت‌هایی آسیب فیزیکی چندانی به دستگاه ها وارد نمی شود اما به دلیل از کار افتادن فرآیندها سازمان‌ها با خسارات مالی شدیدی مواجه می‌شوند.

علاوه بر خسارت مالی این تروجان، مجرمان می‌توانند آسیب‌‌های شدید تهدیدکننده‌ای را از طریق برنامه‌ ریزی مجدد منطق SIS ایجاد نمایند تا شرایط غیر ایمن را حفظ کنند یا اینکه فرایندها را برای دستیابی به وضعیت ناامن اول عمداً دست‌کاری کنند.

چندی پس از دسترسی به سیستم SIS مجرمان، بدافزار طراحی شده‌ TRITON را پیاده سازی کردند تا عملیات خرابکارانه‌ی خود را ادامه دهند. این رفتار مجرمان نشان می دهد که این ابزار مخرب از قبل ساخته شده و مورد آزمایش آن‎ها قرار گرفته است.

تحلیل‌های فنی:
محققان بر این باور هستند که TRITON به دلیل توانایی‌های بالایی که در ایجاد آسیب‌های فیزیکی و حتی متوقف ساختن عملیات و پروژه‌ها دارد، یک تهدیدی حیاتی و جدی درست همانند بدافزارهای Stuxnet و Industroyer به حساب می‌آید.
برچسب‌ها: امنیت   بدافزار   تروجان   سازمان   عملیات