Az NJSZT blogja a legfejlettebb infokom technológiákról

Jelenből a Jövőbe

Triton, a gyilkos malware

2019. március 13. - ferenck

Hozzászoktunk a hitelkártya-információkat gyűjtő vagy a fájljainkhoz való hozzáférésünkért bitcoinban váltságdíjat kérő malware-ekhez. Egy új rosszindulatú szoftver viszont minden korábbinál veszélyesebb, mert nem banki adatokat akar, és nem is zsarol.

Fizikai tereket, ipari létesítmények, például atom- vagy vízerőművek biztonsági rendszereit támadja meg helyettük. Tevékenysége a legrosszabb esetet felvázoló forgatókönyvben kénhidrogén gáz kibocsátásához, a létesítményben dolgozó és a környéken lakó személyek életének közvetlen veszélyeztetéséhez vezethet.

triton0.jpg

A távirányítható malware neve Triton, kb. 2014 óta terjed, létezése viszont csak 2017-ben tudatosult a szakemberekben. Egy szaúd-arábiai petrolkémiai üzem biztonsági rendszerét, fizikai kontrollereket és az azokat működtető szoftvert támadta meg. Szerencsére hibás volt a kód, és ez ki is derült, mielőtt a hackerek belendültek, majd a biztonsági rendszert hatástalanították volna.

A létesítmény mechanikai hibaként könyvelte el a 2017. júniusi első kimaradást. A 2017. augusztusi második után, amikor több rendszer leállt, már kivizsgálást kértek. Decemberben nyilvánosságra hozták a malware létezését, az üzem és tulajdonosa nevét viszont nem.

triton1.jpg

Nyugtalanító, hogy hackerek átlépték a Rubicont. Először történt meg, hogy a cyberbiztonsági világ életeket szándékosan kockáztató kódot látott. Szakértők szerint a malware-t fejlesztő és azzal a szaúdi létesítményt támadó hackercsoport ugyanazokkal a digitális módszerekkel keres a Közép-Keleten kívüli, köztük észak-amerikai célpontokat. Új kódfajtákat fejlesztve, változatosabb biztonsági rendszereket igyekeznek megtámadni.

A csoportról szinte semmit nem tudnak, egyesek iráni, mások orosz szálra gyanakodnak. Mindenesetre rendkívül tudatosan, megfontoltan tevékenykednek.

Triton felfedezése súlyos kérdést vet fel: hogyan férkőzhettek be hackerek a kritikus infrastruktúra részét képező rendszerekbe? Az egyik válasz: az ipari dolgok internete (Internet-of-Things, IoT) jóvoltából e létesítmények mindenféle eszköze képes hálózatokra kapcsolódni.

A dolgozók így távolról is figyelhetik a műszereket, gyorsan gyűjthetnek adatokat, a műveletek hatékonyabbá válnak. Másrészt viszont megnőnek, további célpontokkal bővülnek a hackerek lehetőségei.

„Biztonsági rendszerek megtámadása morálisan és technikailag is kizártnak tűnt, de Tritonnal megváltozott a helyzet. Még a Stuxnettel sem akartak életeket veszélyeztetni” – nyilatkozta Joe Slowik, a malware tevékenységét figyelő Dragos ipari cyberbiztonsági vállalat szakembere. (Az Iránban 45 ezer számítógépet megfertőzött vírus 2010-ben egy helyi erőműben „bukott le”, de bebizonyosodott róla: a létesítményre nem jelentett közvetlen veszélyt.)

Triton és a hasonló malware-ek megjelenésére még a legpesszimistább cyber Kasszandrák sem számítottak…

A bejegyzés trackback címe:

https://jelenbolajovobe.blog.hu/api/trackback/id/tr1814685496

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.