Aggiornamenti recenti Luglio 18th, 2025 3:17 PM
Dic 15, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0
L’esperienza insegna: il 99% dei pirati informatici hanno come obiettivo quello di mettersi in tasca qualche manciata (o un bel malloppo) di dollari. Quando si intercetta un malware che non sembra avere a che fare con carte di credito, Bitcoin o informazioni sensibili, quindi, è normale che si alzi qualche sopracciglio.
Nel caso di Triton, il nuovo malware individuato dai ricercatori di sicurezza in questi giorni, il dubbio è che si tratti dell’ennesimo “virus di stato” creato ad hoc per portare azioni di sabotaggio mirate.
Il malware, individuato da FireEye che ne descrive le caratteristiche in un report pubblicato su Internet, prende di mira i dispositivi SIS (Safety Instrumented System) Triconex, che negli impianti industriali hanno il compito di controllare il funzionamento di componenti critici (valvole, robot) per mantenerne l’attività entro parametri di sicurezza.
Tradotto in termini più semplici: Triton è programmato per provocare incidenti all’interno di impianti industriali, che potrebbero avere anche pesanti conseguenze a livello “fisico”.
I ricercatori di FireEye hanno individuato Triton “sul campo”, quando i sistemi di una società di cui non viene specificato nome o nazionalità ha subito un fermo di emergenza dei sistemi causato proprio dall’attacco del malware.
L’analisi di FireEye evidenzia come Triton sia un malware modulare, che include due componenti: Triton.exe e Library.zip. Stando a ciò che si legge nel report, l’eseguibile sfrutterebbe i dati contenuti nell’archivio compresso per eseguire i comandi diretti ai componenti Triconex.
Dispositivi come questo non sono proprio il genere di obiettivi che i normali pirati informatici prendono di mira solitamente.
Anche se non viene specificato il vettore di attacco usato (non è escluso che sia stata una forma di accesso fisico ai sistemi come già avvenuto nel caso di Stuxnet) i ricercatori di FireEye riassumono l’azione dei pirati in due fasi: la presa di controllo di un sistema SIS e l’installazione del framework di attacco.
Per fortuna i sistemi hanno reagito all’attacco avviando una procedura di fermo di emergenza che ha impedito danni più gravi. Stando a quanto emerge dal report, nel caso in cui l’attacco avesse avuto successo i danni fisici (forse anche in termini di vite umane) sarebbero stati decisamente “importanti”.
Le opzioni a disposizione degli autori del malware sono tre: la prima è quella di provocare un semplice arresto del sistema, mentre la seconda e la terza (più subdole) causerebbero condizioni di insicurezza nei processi produttivi, aprendo in buona sostanza la strada a incidenti.
Quello che è certo è che gli autori del malware hanno avuto modo di lavorare a lungo per creare Triton, utilizzando presumibilmente informazioni riservate riguardo alle tecnologie utilizzate dai dispositivi SIS Triconex.
I comandi utilizzati dal malware sono infatti trasmessi utilizzando il protocollo TriStation, cioè quello usato normalmente per gestire i controller SIS. Questo significa che hanno avuto la possibilità di lavorare sui dispositivi Qualcosa che ricorda molto da vicino Stuxnet, che i servizi segreti statunitensi e israeliani avrebbero sviluppato sfruttando per i loro test una replica della centrale per l’arricchimento dell’uranio che avevano intenzione di colpire.
Lug 01, 2025 0
Giu 26, 2025 0
Feb 03, 2025 0
Gen 24, 2025 0
Lug 18, 2025 0
Lug 18, 2025 0
Lug 17, 2025 0
Lug 16, 2025 0
Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 18, 2025 0
Il CERT-UA, agenzia governativa ucraina di cybersicurezza,...Lug 18, 2025 0
Un gruppo APT legato al governo cinese ha mantenuto...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 16, 2025 0
FlashStart, realtà italiana specializzata in soluzioni per...Lug 15, 2025 0
Nuova minaccia per le GPU: secondo un recente comunicato...