TRITON es un malware contra sistema industriales que puede provocar consecuencias catastróficas
TRITON es un malware creado para atacar específicamente los Sistemas de Control Industriales (ICS), con el potencial añadido de causar catástrofes que podrían mermar de forma significativa la calidad de la vida del lugar en el que se encuentren las instalaciones, teniendo en sus objetivos similitudes con Stuxnet.
TRITON, también conocido como TRISIS, ha sido diseñado para ir contra los controladores del Sistema Instrumentado de Seguridad (SIS) de Triconex, los cuales fueron realizados por Schneider Electric, una empresa dedicada a crear un sistema de control autónomo que monitoriza de forma independiente el rendimiento de sistemas críticos y toma acciones inmediatas automáticamente en caso de detectar alguna situación peligrosa.
Investigadores de FireEye han especulado que TRITON podría ser un malware patrocinado por estado con intenciones de dañar a alguna organización, debido sobre todo a algunas de sus capacidades, las cuales no son fáciles de implementar. Sin embargo, de momento no se tiene información sobre el estado o los estados que podrían estar detrás ni de las organizaciones objetivo. Por otro lado, la firma de ciberseguridad Dragos dice que el malware forma parte de un ataque lanzado contra organizaciones industriales de Oriente Medio.
Para poder llevar a cabo el ataque que tiene programado, TRITON utiliza el protocolo privativo TriStation, que es una herramienta de ingeniería y mantenimiento utilizado por los SIS de Triconex y del cual no hay documentación pública, por lo que sus desarrolladores habrían recurrido a la ingeniería inversa para crear el malware. Para llevar el proceso de infección, los atacantes tienen que conseguir acceso remoto a las estaciones de trabajo de ingeniería SIS e implementar el framework de ataque TRITON para reprogramar los controladores del SIS.
Utilizando TRITON, un atacante podría reprogramar un SIS para provocar un proceso de apagado falso dentro de un contexto seguro. Aunque en ese escenario no habría ningún daño contra la vida próxima a las instalaciones, sí supondría pérdidas económicas para la organización encargada del sistema. Pero esto no es ni mucho menos lo peor que se puede hacer con el malware que nos ocupa en esta entrada, ya que en caso de tener la intención, los atacantes podrían provocar daños contra la vida si se reprograma un SIS para establecer condiciones inseguras y persistentes o bien manipulan los procesos para llegar a ese extremo.
Malware como TRITON y Stuxnet son posiblemente el máximo extremo a nivel de peligrosidad, no solo por los daños computacionales que pueden causar, sino porque además resultan toda una amenaza para la población humana y toda forma de vida que esté cerca de ciertas instalaciones industriales.
Via: www.muyseguridad.net