A empresa de segurança FireEye afirma ter descoberto evidências que comprovam o envolvimento de um instituto de pesquisa de propriedade russa no desenvolvimento do malware TRITON. Causando a paralisação inesperada de alguns sistemas industriais no ano passado, incluindo uma instalação petroquímica na Arábia Saudita.
O TRITON, também conhecido como Trisis, é uma parte do malware ICS projetado para atingir os controladores do sistema de instrumentos de segurança Triconex (SIS) fabricados pela Schneider Electric e que são usados ??com frequência em instalações de petróleo e gás.
O Sistema Instrumentado de Segurança Triconex é um sistema de controle autônomo que monitora independentemente o desempenho de sistemas críticos e toma ações imediatas automaticamente se um estado perigoso for detectado.
Como malwares de tais capacidades não podem ser criados por um cracker/hackers de computador sem possuir conhecimento necessário dos Sistemas de Controle Industrial (ICS), os pesquisadores acreditam com “alta confiança” que o laboratório de Moscou Central Research Institute of Chemistry and Mechanics (CNIIHM, aka ??????) ajudou os atacantes, apelidados de “TEMP.Veles”, com conhecimento institucional a desenvolver o framework TRITON e testar seus componentes em um ambiente direcionado.
Em um post publicado hoje, a FireEye descobriu várias pistas de atribuição que conectam o desenvolvimento e as atividades de teste do malware Triton ao governo russo, CNIIHM e um ex-professor do CNIIHM.
Um endereço o IP [87.245.143.140] registrado no CNIIHM foi utilizado pelo TEMP.Veles para vários propósitos, incluindo o monitoramento da cobertura de código aberto do TRITON, reconhecimento de rede e atividades maliciosas em apoio à intrusão do TRITON, informou a FireEye ao apontar evidência.
Além disso, os padrões de comportamento observados na atividade do grupo TEMP.Veles também são consistentes com o fuso horário de Moscou, onde o instituto CNIIHM está localizado.
Embora os pesquisadores do CNIIHM possuam experiência em infraestrutura crítica e desenvolvimento de armas e equipamentos militares, a FireEye não reivindicou ou tem nenhuma evidência se o instituto também estava envolvido na implantação do malware Triton na natureza.
Existe alguma possibilidade de que um ou mais funcionários do CNIIHM possam ter conduzido a atividade ligando o TEMP.Veles ao CNIIHM sem a aprovação de seu empregador. No entanto, este cenário é altamente improvável, concluíram os pesquisadores da FireEye.
Nem o governo russo nem o instituto CNIIHM responderam ao relatório da FireEye, embora possamos prever a resposta da Rússia, já que o país negou repetidas vezes tais alegações de empresas privadas de segurança no passado.
O que preocupa é que os crackers/hackers por trás do Triton continuaram sendo uma ameaça ativa à infraestrutura crítica em todo o mundo, já que o malware tem a capacidade de causar danos graves e potencialmente fatais a uma organização ou encerrar suas operações.
