تروجان Triton دارای پروتکل اختصاصی با نام TriStation است که توسط محصولات Triconex SIS مورداستفاده قرار گرفته است.
چندی پیش محققان امنیتی بدافزار جدیدی کشف نمودهاند که به طور خاص سیستمی صنعتی را مورد هدف قرار داده است. این بدافزار به گونهای خطرناک است که میتواند زندگی و سلامت افراد را نیز در معرض خطر قرار دهد.
به گزارش ایتنا از کسپرسکی آنلاین، این بدافزار که Triton نام گرفته است به منظور کنترل کنندههای سیستم ایمنی ابزار Triconex که یک کمپانی کنترل سیستم مستقل است، ایجاد و منتشر شده است. Triconex چه کمپانی است؟ این شرکت به طور کاملا مستقل بر سیستمهای حیاتی نظارت دارد و در صورت شناسایی هر گونه خطری فورا به صورت اتوماتیک اقدامات امنیتی و فوری را به انجام میرساند.
محققان شرکت امنیتی FireEye در گزارشی در 14 ماه سپتامبر 2017 مدعی شده بودند که مجرمان Triton را برای آسیبهای فیزیکی به یک سازمان مورد استفاده قرار میدهند.
نام سازمانی که مجرمان آن را مورد هدف قرار دادهاند و البته افرادی که پشت این حمله بودند به هیچ عنوان در این گزارش لحاظ نشده است. اما تنها چیزی که از این حمله مشخص و واضح بوده این است که این حمله علیه سازمانی در خاومیانه صورت گرفته است.
تروجان Triton دارای پروتکل اختصاصی با نام TriStation است که توسط محصولات Triconex SIS مورداستفاده قرار گرفته است. هنوز خیلی موارد در مورد این تروجان مبهم است اما کارشناسان امنیتی اینطور حدس می زنند که مجرمان پشت این حمله هنگام ایجاد بدافزار از مهندسی معکوس برای ساخت پروتکل آن استفاده کردهاند.
سیستم عملکرد بدافزار چگونه است؟
طبق گفته محققان مجرمان از یک دسترسی از راه دور به یک workstation مهندسی SIS استفاده کردهاند و حمله تروجان را برای کنترل کنندههای SIS پیادهسازی کردهاند.
نسخه منتشر شده فعلی مخرب TRITON که محققان آن را آنالیز کردهاند قادر است برنامهها را و حتی قادر است توابع خاص و پرسوجوها را از وضعیت کنترلکننده SIS بخواند و بنویسد.
طبق گفته محققان، برخی از کنترلکنندههای SIS توانسته بودند بهطور خودکار روند فرایند را متوقف سازند. با استفاده از این تروجان مجرمان میتوانند SIS را مجدداً راه اندازی کنند. اگر چه در چنین حالتهایی آسیب فیزیکی چندانی به دستگاه ها وارد نمی شود اما به دلیل از کار افتادن فرآیندها سازمانها با خسارات مالی شدیدی مواجه میشوند.
علاوه بر خسارت مالی این تروجان، مجرمان میتوانند آسیبهای شدید تهدیدکنندهای را از طریق برنامه ریزی مجدد منطق SIS ایجاد نمایند تا شرایط غیر ایمن را حفظ کنند یا اینکه فرایندها را برای دستیابی به وضعیت ناامن اول عمداً دستکاری کنند.
چندی پس از دسترسی به سیستم SIS مجرمان، بدافزار طراحی شده TRITON را پیاده سازی کردند تا عملیات خرابکارانهی خود را ادامه دهند. این رفتار مجرمان نشان می دهد که این ابزار مخرب از قبل ساخته شده و مورد آزمایش آنها قرار گرفته است.
تحلیلهای فنی:
محققان بر این باور هستند که TRITON به دلیل تواناییهای بالایی که در ایجاد آسیبهای فیزیکی و حتی متوقف ساختن عملیات و پروژهها دارد، یک تهدیدی حیاتی و جدی درست همانند بدافزارهای Stuxnet و Industroyer به حساب میآید.