Το Υπουργείο Οικονομικών των ΗΠΑ ανακοίνωσε στο τέλος της προηγούμενης εβδομάδας κυρώσεις για ένα ρωσικό ερευνητικό ινστιτούτο, το οποίο φέρεται να εμπλέκεται στην ανάπτυξη του Triton, ενός στελέχους malware που έχει σχεδιαστεί για να επιτίθεται σε βιομηχανίες. Πρόκειται για το Κρατικό Ερευνητικό Κέντρο της Ρωσικής Ομοσπονδίας FGUP Central Scientific Research Institute of Chemistry and Mechanics, επίσης γνωστό ως CNIIHM ή TsNIIKhM.
Μια έκθεση της FireEye που δημοσιεύτηκε τον Οκτώβριο του 2018 αναγνώρισε το CNIIHM ως τον πιθανό δημιουργό του Triton malware. Το Triton malware, επίσης γνωστό ως Trisis ή HatMan, σχεδιάστηκε για να στοχεύει συγκεκριμένα έναν συγκεκριμένο τύπο εξοπλισμού βιομηχανικού συστήματος ελέγχου (ICS) τους ελεγκτές Schneider Electric Triconex Safety Instrumented System (SIS).
Σύμφωνα με τεχνικές αναφορές των FireEye, Dragos και Symantec, το malware διανεμήθηκε μέσω phishing εκστρατειών. Μόλις κατάφερνε να μολύνει ένα workstation, αναζητούσε ελεγκτές SIS στο δίκτυο ενός θύματος και στη συνέχεια προσπαθούσε να τροποποιήσει τις ρυθμίσεις του ελεγκτή.
Οι ερευνητές δήλωσαν ότι το Triton περιείχε οδηγίες που θα μπορούσαν είτε να σταματήσουν μια διαδικασία παραγωγής είτε να ωθήσουν μηχανήματα που ελέγχονται από το SIS να λειτουργούν σε μη ασφαλή κατάσταση, δημιουργώντας κίνδυνο εκρήξεων, αλλά και κίνδυνο για τις ζωές των ανθρώπων που χειρίζονται αυτά τα μηχανήματα.
Το malware εντοπίστηκε για πρώτη φορά το 2017, αφότου χρησιμοποιήθηκε επιτυχώς κατά τη διάρκεια μιας εισβολής σε πετροχημική μονάδα της Σαουδικής Αραβίας που ανήκει στην Tasnee. Κατά την επίθεση του malware, παραλίγο να προκληθεί έκρηξη.
Από τότε, το malware έχει στοχεύσει πολυάριθμες εταιρείες σε όλο τον κόσμο. Επιπλέον, η ομάδα που βρίσκεται πίσω από αυτό – γνωστή ως TEMP.Veles ή Xenotime – έχει στοχεύσει τουλάχιστον 20 υπηρεσίες ηλεκτροδότησης των ΗΠΑ, τις οποίες σάρωνε για ευπάθειες.
Οι κυρώσεις που επιβλήθηκαν τώρα στο ρωσικό ερευνητικό ινστιτούτο, απαγορεύουν στις αμερικανικές οντότητες να αλληλεπιδρούν με το CNIIHM, ενώ παράλληλα προβλέπουν την κατάσχεση οποιωνδήποτε περιουσιακών στοιχείων που διαθέτει το ινστιτούτο στις ΗΠΑ.
Ο υπουργός Στίβεν Τ. Μούτσιν σχολίασε το εν λόγω περιστατικό δηλώνοντας πως η ρωσική κυβέρνηση συνεχίζει να προβαίνει σε επικίνδυνες δραστηριότητες στον κυβερνοχώρο με στόχο τις ΗΠΑ και τους συμμάχους της. Τόνισε ακόμη πως η αμερικανική κυβέρνηση θα συνεχίσει να προστατεύει τις κρίσιμες υποδομές της χώρας από όποιον προσπαθεί να τις διαταράξει.
Στις αρχές της προηγούμενης εβδομάδας, το Υπουργείο Δικαιοσύνης των ΗΠΑ υπέβαλε κατηγορίες εναντίον έξι χάκερ της ομάδας Sandworm, που φέρονται να ανέπτυξαν τα NotPetya, KillDisk, BlackEnergy και OlympicDestroyer malware. Παράλληλα, η CISA και το FBI αποκάλυψαν μια πρόσφατη hacking εκστρατεία, πίσω από την οποία βρίσκεται η ρωσική ομάδα “Energetic Bear”. Ακόμη, η Ε.Ε επέβαλε κυρώσεις σε δύο Ρώσους αξιωματικούς της ρωσικής υπηρεσίας στρατιωτικών πληροφοριών, για το ρόλο τους στο hack του Γερμανικού Κοινοβουλίου το 2015.
Ωστόσο, όπως επεσήμαναν αρκετοί ερευνητές ασφαλείας στο Twitter, λίγο μετά την ανακοίνωση των κυρώσεων που επιβάλλει το Υπουργείο Οικονομικών, οι ΗΠΑ ενδέχεται να μην ευνοηθούν από αυτή τους την κίνηση, δεδομένου ότι στο παρελθόν έχουν διενεργήσει επιθέσεις εναντίον βιομηχανικών συστημάτων μέσω της ανάπτυξης του Stuxnet malware κατά του πυρηνικού προγράμματος του Ιράν το 2010.
