Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Dic 15, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0
L’esperienza insegna: il 99% dei pirati informatici hanno come obiettivo quello di mettersi in tasca qualche manciata (o un bel malloppo) di dollari. Quando si intercetta un malware che non sembra avere a che fare con carte di credito, Bitcoin o informazioni sensibili, quindi, è normale che si alzi qualche sopracciglio.
Nel caso di Triton, il nuovo malware individuato dai ricercatori di sicurezza in questi giorni, il dubbio è che si tratti dell’ennesimo “virus di stato” creato ad hoc per portare azioni di sabotaggio mirate.
Il malware, individuato da FireEye che ne descrive le caratteristiche in un report pubblicato su Internet, prende di mira i dispositivi SIS (Safety Instrumented System) Triconex, che negli impianti industriali hanno il compito di controllare il funzionamento di componenti critici (valvole, robot) per mantenerne l’attività entro parametri di sicurezza.
Tradotto in termini più semplici: Triton è programmato per provocare incidenti all’interno di impianti industriali, che potrebbero avere anche pesanti conseguenze a livello “fisico”.
I ricercatori di FireEye hanno individuato Triton “sul campo”, quando i sistemi di una società di cui non viene specificato nome o nazionalità ha subito un fermo di emergenza dei sistemi causato proprio dall’attacco del malware.
L’analisi di FireEye evidenzia come Triton sia un malware modulare, che include due componenti: Triton.exe e Library.zip. Stando a ciò che si legge nel report, l’eseguibile sfrutterebbe i dati contenuti nell’archivio compresso per eseguire i comandi diretti ai componenti Triconex.
Anche se non viene specificato il vettore di attacco usato (non è escluso che sia stata una forma di accesso fisico ai sistemi come già avvenuto nel caso di Stuxnet) i ricercatori di FireEye riassumono l’azione dei pirati in due fasi: la presa di controllo di un sistema SIS e l’installazione del framework di attacco.
Per fortuna i sistemi hanno reagito all’attacco avviando una procedura di fermo di emergenza che ha impedito danni più gravi. Stando a quanto emerge dal report, nel caso in cui l’attacco avesse avuto successo i danni fisici (forse anche in termini di vite umane) sarebbero stati decisamente “importanti”.
Le opzioni a disposizione degli autori del malware sono tre: la prima è quella di provocare un semplice arresto del sistema, mentre la seconda e la terza (più subdole) causerebbero condizioni di insicurezza nei processi produttivi, aprendo in buona sostanza la strada a incidenti.
Quello che è certo è che gli autori del malware hanno avuto modo di lavorare a lungo per creare Triton, utilizzando presumibilmente informazioni riservate riguardo alle tecnologie utilizzate dai dispositivi SIS Triconex.
I comandi utilizzati dal malware sono infatti trasmessi utilizzando il protocollo TriStation, cioè quello usato normalmente per gestire i controller SIS. Questo significa che hanno avuto la possibilità di lavorare sui dispositivi Qualcosa che ricorda molto da vicino Stuxnet, che i servizi segreti statunitensi e israeliani avrebbero sviluppato sfruttando per i loro test una replica della centrale per l’arricchimento dell’uranio che avevano intenzione di colpire.
Feb 09, 2024 0
Gen 18, 2024 0
Nov 28, 2023 0
Apr 05, 2023 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...