Sicherheitsmanipulation 'Triton Malware' infiziert mehr Infrastruktur-Websites
Die Triton-Malware wurde erstmals von FireEye-Forschern entdeckt. Es zielte auf die Triconex-Steuerungssysteme von Schneider Electric ab. Aufgrund eines Systemfehlers wurde die Malware eingeschleust. Der Angriff war mit dem Zentralen Wissenschaftlichen Forschungsinstitut für Chemie und Mechanik in Moskau verbunden.
Als Nächstes veröffentlicht FireEye einen Bericht über einen weiteren Fall, in dem Triton im Internet verwendet wurde, und greift diesmal Kraftwerke und Raffinerien an. Triton wurde eingesetzt, um die Sicherheitsinstrumentierten Systeme (Safety Instrumented Systems, SIS) in der Umgebung dieser Anlagen zu beeinflussen und das Risiko zu erhöhen, dass giftige Materialien freigesetzt werden, Feuer, Explosionen usw. entstehen.
Im zweiten Fall zeigte sich, dass Triton-Angriffe bereits seit 2014 andauerten, was eine Reihe von Tools zeigte, die zeigten, wie gut die Triton-Bediener ihre Arbeit erledigten.
Was macht Triton gefährlich?
Das gefährlichste Detail bei der Ausrichtung auf SIS-Systeme ist die Tatsache, dass Kraftwerke und Anlagen nicht nur heruntergefahren, sondern auch dauerhaft funktionsunfähig sind und möglicherweise sogar Menschen in oder in der Nähe von SIS-Systemen getötet werden. Ähnlich wie bei Stuxnet und den sogenannten Sandwurmangriffen der vergangenen Jahre, die Russland zugeschrieben wurden, kann dies als Sabotage in der Industrie angesehen werden . Allein im Jahr 2018 verursachten derartige Angriffe weltweit Schäden in Höhe von 10 Milliarden US-Dollar.
Es hat sich herausgestellt, dass es mehr Vorfälle als diesen gibt, und obwohl die Ursprünge der Angriffe auf das russische Institut zurückgeführt wurden, gibt es derzeit nicht genügend Informationen, um eine Bewertung vorzunehmen. Das Institut kann an einen anderen bedrohlichen Akteur vergeben werden, oder seine Computer können von jemandem verwendet werden, der nicht mit Dingen auf Regierungsebene verbunden ist, wie z. B. einer Privatperson oder Einzelpersonen.
Fehlende Details zum Angriff
In dem von FireEye veröffentlichten Bericht werden einige Dinge nicht erwähnt, z. B. der Zeitpunkt des Angriffs, die Dauer des Angriffs, ob ein Schaden entstanden ist und ob die Malware auf demselben Triconex-System wie zuvor basiert. Die FireEye-Sprecherin lehnte es ab, Fragen zu Einzelheiten des Angriffs zu beantworten.
Andererseits enthält der Bericht technische Details zu den gefundenen Tools sowie dazu, wie die Angreifer diese Tools verwenden, um in einem infizierten Netzwerk verborgen zu bleiben. Der Bericht zeigt auch, wie die Einbrüche identifiziert wurden. FireEye forderte die Forscher und die Cybersicherheit von Unternehmen auf, zu prüfen, ob die Daten mit denen der zuvor aufgetretenen Angriffe übereinstimmen.