Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
Dic 15, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0
L’esperienza insegna: il 99% dei pirati informatici hanno come obiettivo quello di mettersi in tasca qualche manciata (o un bel malloppo) di dollari. Quando si intercetta un malware che non sembra avere a che fare con carte di credito, Bitcoin o informazioni sensibili, quindi, è normale che si alzi qualche sopracciglio.
Nel caso di Triton, il nuovo malware individuato dai ricercatori di sicurezza in questi giorni, il dubbio è che si tratti dell’ennesimo “virus di stato” creato ad hoc per portare azioni di sabotaggio mirate.
Il malware, individuato da FireEye che ne descrive le caratteristiche in un report pubblicato su Internet, prende di mira i dispositivi SIS (Safety Instrumented System) Triconex, che negli impianti industriali hanno il compito di controllare il funzionamento di componenti critici (valvole, robot) per mantenerne l’attività entro parametri di sicurezza.
Tradotto in termini più semplici: Triton è programmato per provocare incidenti all’interno di impianti industriali, che potrebbero avere anche pesanti conseguenze a livello “fisico”.
I ricercatori di FireEye hanno individuato Triton “sul campo”, quando i sistemi di una società di cui non viene specificato nome o nazionalità ha subito un fermo di emergenza dei sistemi causato proprio dall’attacco del malware.
L’analisi di FireEye evidenzia come Triton sia un malware modulare, che include due componenti: Triton.exe e Library.zip. Stando a ciò che si legge nel report, l’eseguibile sfrutterebbe i dati contenuti nell’archivio compresso per eseguire i comandi diretti ai componenti Triconex.
Dispositivi come questo non sono proprio il genere di obiettivi che i normali pirati informatici prendono di mira solitamente.
Anche se non viene specificato il vettore di attacco usato (non è escluso che sia stata una forma di accesso fisico ai sistemi come già avvenuto nel caso di Stuxnet) i ricercatori di FireEye riassumono l’azione dei pirati in due fasi: la presa di controllo di un sistema SIS e l’installazione del framework di attacco.
Per fortuna i sistemi hanno reagito all’attacco avviando una procedura di fermo di emergenza che ha impedito danni più gravi. Stando a quanto emerge dal report, nel caso in cui l’attacco avesse avuto successo i danni fisici (forse anche in termini di vite umane) sarebbero stati decisamente “importanti”.
Le opzioni a disposizione degli autori del malware sono tre: la prima è quella di provocare un semplice arresto del sistema, mentre la seconda e la terza (più subdole) causerebbero condizioni di insicurezza nei processi produttivi, aprendo in buona sostanza la strada a incidenti.
Quello che è certo è che gli autori del malware hanno avuto modo di lavorare a lungo per creare Triton, utilizzando presumibilmente informazioni riservate riguardo alle tecnologie utilizzate dai dispositivi SIS Triconex.
I comandi utilizzati dal malware sono infatti trasmessi utilizzando il protocollo TriStation, cioè quello usato normalmente per gestire i controller SIS. Questo significa che hanno avuto la possibilità di lavorare sui dispositivi Qualcosa che ricorda molto da vicino Stuxnet, che i servizi segreti statunitensi e israeliani avrebbero sviluppato sfruttando per i loro test una replica della centrale per l’arricchimento dell’uranio che avevano intenzione di colpire.
Lug 01, 2025 0
Giu 26, 2025 0
Feb 03, 2025 0
Gen 24, 2025 0
Set 02, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...