W październiku 2020 r. Departament Skarbu USA ogłosił nowe sankcje wobec rosyjskiego instytutu badawczego, który rzekomo odegrał kluczową rolę w opracowaniu Tritona, złośliwego oprogramowania wykorzystywanego do ataków na urządzenia przemysłowe. Instytut badawczy znany jest jako Państwowe Centrum Badawcze Centralnego Instytutu Badań Naukowych Chemii i Mechaniki Federacji Rosyjskiej lub CNIIHM.
W raporcie FireEye z października 2018 r. wcześniej zidentyfikowano CNIIHM jako potencjalnego autora Tritona malware. Triton, znany również jako Trisis lub HatMan, to złośliwe oprogramowanie zaprojektowane z myślą o przemysłowych systemach sterowania, w szczególności na sterownikach Schneider Electric Triconex Safety Instrumented System lub (SIS).
Ta najnowsza kampania była rozpowszechniana za pomocą ataków phishingowych. Po pobraniu Triton wyszukuje kontrolery SIS w sieci ofiary, a następnie próbuje zmodyfikować ustawienia kontrolera. Triton może potencjalnie zatrzymać proces produkcyjny lub pozwolić maszynom kontrolowanym przez SIS pracować w niebezpieczny sposób, potencjalnie powodując eksplozje i narażając życie operatorów.
Triton blisko eksplozji w saudyjskich zakładach petrochemicznych
Triton został po raz pierwszy zauważony po udanym użyciu w 2017 r. podczas ataku na saudyjską fabrykę petrochemiczną, gdzie prawie spowodował eksplozję. Sankcje Departamentu Skarbu zabraniają podmiotom amerykańskim współpracy z CNIIHM i umożliwiają rządowi USA przejęcie wszelkich aktywów instytutu badawczego znajdujących się w USA.
„Rząd rosyjski w dalszym ciągu angażuje się w niebezpieczne działania cybernetyczne wymierzone w Stany Zjednoczone i naszych sojuszników” – powiedział sekretarz Steven T. Mnuchin. „Ta administracja będzie w dalszym ciągu agresywnie bronić infrastruktury krytycznej Stanów Zjednoczonych przed kimkolwiek, kto będzie próbował ją zakłócić”.
Chociaż Stany Zjednoczone zajmują twarde stanowisko wobec Rosji w sprawie Tritona, ludzie zapamiętają, że Stany Zjednoczone były pionierami ataków na systemy przemysłowe poprzez rozmieszczenie szkodliwego oprogramowania Stuxnet przeciwko irańskiemu programowi nuklearnemu w 2010 r., co wiele osób uważa za pierwszy przypadek sponsorowanej przez państwo cyberwojny .
Jeśli nadal masz problemy, rozważ skontaktowanie się z nami opcje zdalnej pomocy technicznej.