خطر Triton برای زیرساخت‌های حیاتی‎

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q386

 

پژوهشگران هشدار دادند که هدف قرار دادن زیرساخت‌های حیاتی توسط بدافزار TRITON می‌تواند باعث آسیب فیزیکی شود.

به گزارش كارشناسان دژپاد ،پژوهشگران امنیتی یکی دیگر از بخش‌های بدافزار طراحی‌شده برای هدف قرار دادن سامانه‌های کنترل صنعتی (ICS) با پتانسیل ایجاد رویدادهای تهدیدکننده‌ سلامتی و زندگی را کشف کرده‌اند.

بدافزار ICS که Triton که با عنوان Trisis نیز شناخته‌می‌شود برای هدف قرار دادن کنترل‌کننده‌های سامانه‌ ایمنی ابزار Triconex ساخته‌شده توسط Schneider Electric طراحی شده‌است. این کنترل‌کننده یک سامانه‌ کنترل مستقل است که جداگانه عملکرد سامانه‌های حیاتی را نظارت می‌کند و در صورت شناسایی وضعیت خطرناک به‌صورت خودکار اقدامات فوری انجام می‌دهد.

پژوهشگران بخش Mandiant از شرکت امنیتی فایرآی روز پنج‌شنبه گزارشی را منتشر کردند که در آن آمده‌است: «مهاجمان تحت حمایت دولت از بدافزار Triton برای ایجاد آسیب فیزیکی برای یک سازمان استفاده می‌کنند.»

پژوهشگران نام سازمان مورد هدف را افشا نکردند و این حمله را به هیچ‌یک از گروه‌های نفوذ شناخته‌شده ارتباط نداده‌اند.

بر اساس تحقیق جداگانه‌ انجام شده توسط شرکت امنیت سایبری Dragos که این بدافزار را «TRISIS» می‌نامد، این حمله علیه یک سازمان صنعتی در خاورمیانه راه‌اندازی شد.

بدافزار Triton پروتکل اختصاصی TriStation را به‌کار می‌گیرد که یک ابزار مهندسی و نگهداری است که توسط محصولات Triconex SIS استفاده می‌شود و به‌صورت عمومی مستند نشده‌است. این موضوع نشان می‌دهد که مهاجمان در هنگام ایجاد بدافزار خود، آن را مهندسی معکوس کرده‌اند.

پژوهشگران فایرآی گفتند: «مهاجم به‌صورت از راه دور دسترسی به یک ایستگاه کاری مهندسی SIS را به‌دست آورده و چارچوب حمله‌ TRITON را برای برنامه‌نویسی مجدد کنترل‌کننده‌های SIS گسترش داده‌است.»

نفوذگران بدافزار Triton را بر روی یک ایستگاه کاری مهندسی SIS که سیستم‌عامل ویندوز را اجرا می‌کند با ظاهر شدن به‌صورت برنامه‌ قانونی Triconex Trilog گسترش داده‌اند.

نسخه‌ فعلی بدافزار TRITON که پژوهشگران آن را تجزیه‌و‌تحلیل کرده‌اند با ویژگی‌های بسیاری ازجمله «توانایی خواندن و نوشتن برنامه‌ها، خواندن و نوشتن عملکردهای منحصربه‌فرد و بررسی وضعیت کنترل‌کننده‌ی SIS» ساخته شده‌است.

پژوهشگران گفتند: «در طول این رویداد، بعضی از کنترل‌کننده‌های SIS وارد یک وضعیت ناامن شدند که به‌طور خودکار فرایند صنعتی تعطیل شده و باعث شد مالک دارایی تحقیق را آغاز کند.»

مهاجم با استفاده از بدافزار TRITON می‌تواند منطق SIS را به‌منظور تعطیل کردن اشتباه یک فرایند به‌صورت مجدد برنامه‌نویسی کند که واقعیت حالت ایمن است. اگرچه چنین سناریویی موجب آسیب فیزیکی نخواهدشد، سازمان‌ها می‌توانند به‌دلیل از کار افتادگی برای یک مدت، با زیان‌های مالی مواجه شوند.

علاوه‌بر این، مهاجمان همچنین می‌توانند با برنامه‌نویسی مجدد منطق SIS، آسیب‌های شدید تهدیدکننده‌ زندگی ایجاد کنند تا اجازه دهند که شرایط ناایمن ادامه یابند و یا برای دست‌یابی به وضعیت ناایمن فرایندها را به‌صورت عمدی دستکاری می‌کنند.

«مهاجم بدافزار TRITON را مدت کوتاهی پس از دسترسی به سامانه‌ SIS گسترش می‌دهد، این موضوع نشان می‌دهد که آنها ابزار را از قبل ساخته و آزمایش کرده‌اند که به دسترسی به سخت‌افزار و نرم‌افزار نیاز خواهدبود که به‌طور گسترده‌ای در دسترس نیست.»

پژوهشگران معتقدند بدافزار Triton به‌دلیل توانایی‌هایش در ایجاد آسیب فیزیکی یا تعطیل کردن عملیات به‌عنوان یک تهدید جدی برای زیرساخت‌های حیاتی، مانند Stuxnet، IronGate و Industroyer درحال ظهور است.