محققان فایرآی می‌گویند بدافزار تریتون، دومین قربانی خود را هدف گرفته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته محققان فایرآی، بدافزار تریتون که با هدف حمله به سامانه‌های کنترل صنعتی طراحی شده‌بود به تازگی قربانی جدیدی گرفته است.

بدافزار تریتون (Triton) که در سال ۲۰۱۷ به شرکت نفت و گاز پترو رابغ، از زیرساخت‌های پتروشیمی عربستان سعودی حمله کرده بود.

محققان شرکت فایرآی (Fire Eye) در زمان برگزاری اجلاس تحلیل امنیتی کسپرسکی ۲۰۱۹ (SAS ۲۰۱۹) اعلام کردند این بدافزار که با نام تریسیس (Trisis) نیز شناخته می‌شود، دومین قربانی خود را گرفته‌است. تحلیلگران شرح دادند سامانه‌ کنترل صنعتی (ICS) موردحمله واقع شده در آسیای غربی قرار دارد؛ اما از ذکر کردن نام شرکت قربانی خودداری کردند. آنها همچنین ادعا می‌کنند مدارکی در اختیار دارند که ثابت می‌کند مهاجمان هکرهای وابسته به دولت روسیه هستند.

تریتون به کنترلرهای سامانه‌های تجهیزات امنیتی (SIS) حمله می‌کند. یک مجموعه از کنترل‌های سخت‌افزاری و نرم‌افزاری که در سامانه‌های پردازش بحران به کار گرفته‌می‌شود. این ابزارها در زمان وقوع حوادثی مانند آتش‌سوزی و انفجار به منظور جلوگیری از آسیب رسیدن به تأسیسات و خطرات جانی، سامانه‌ها را خاموش و عملیات‌ها را متوقف می‌کند.

تریسیس در حمله اول ابزارهای تریکانکس (Triconex)، تولید شده توسط شرکت اشنایدر الکتریک (Schneider Electric) را مورد حمله قرار داده‌بود. در این حمله تریتون خود را به عنوان یک برنامه‌ کاربردی قانونی معرفی می‌کرد که برای خواندن لاگ‌های سامانه از آن استفاده می‌شود. به نظر می‌رسد این بدافزار با غیرفعال کردن راه‌کارهای ایمنی، امکان انجام حملات فیزیکی به زیرساخت‌ها را فراهم می‌کند که حتی ممکن است در صورت موفقیت آسیب جانی به دنبال داشته‌باشد. این نرم‌افزار مخرب با خاموش کردن فرایند تریکانکس در حالت‌های امن، قادر بود در عملیات‌ها و خدمات شرکت اختلال ایجاد کند.

از نظر کارشناسان، توانایی تریتون برای ایجاد آسیب‌های فیزیکی به زیرساخت‌ها آن را تبدیل به رقیبی برای استاکس‌نت و اینداسترویر (Industroyer) کرده‌است که به‌ترتیب به تأسیسات هسته‌ای ایران و شبکه برق اوکراین حمله کرده‌بودند.

مهاجمان در حمله‌ دوم، بدافزار خود را اصلاح کرده و از حدود یک سال قبل به شبکه‌ ایستگاه کاری مهندسی هدف خود نفوذ کرده‌اند. هکرها در طول این دوره با اولویت‌بندی امنیت عملیات از شناسایی شدن خود جلوگیری به عمل آورده‌بودند.

بازیگران تریتون به‌منظور نفوذ به سامانه کنترل صنعتی از یک الگوی رایج بهره‌می‌گیرند. این روش جابه‌جایی از فناوری یک شرکت به شبکه‌های فناوری عملیاتی (OT)، به‌واسطه سامانه‌های در دسترس هر دو محیط است. تجزیه‌وتحلیل فایرآی نشان می‌دهد در حمله‌ دوم، پس از نفوذ اولیه به شبکه شرکت، هکرها روی دسترسی به بستر فناوری عملیاتی تمرکز کردند. این افراد از تعداد زیادی ابزارهای سفارشی‌سازی شده بهره گرفته‌بودند که در گذشته مشاهده نشده‌بود.

تعدادی از ابزارهای سفارشی‌سازی شده مذکور با تمرکز روی آنتی‌ویروس‌ها، سعی در پنهان‌سازی تریتون داشتند. همچنین تعدادی از ابزارهای سفارشی‌سازی شده و رایج مورد بهره‌برداری قرار گرفته با نام‌های SecHack و Mimikatz وظیفه سرقت اعتبارنامه‌ها را بر عهده داشته و یک خروجی تقریباً مشابه را ارائه می‌دهند.

محققان فایرآی در زمان تحقیقات متوجه شدند، تعدادی از ابزارهای مورد استفاده در تریتون از سال ۲۰۱۴ در حال تکامل بوده‌اند.

فایرآی اشاره کرد که مهاجمان از انجام فعالیت‌های جاسوسی آشکار مانند استفاده از کی‌لاگر، ابزار گرفتن اسکرین‌شات، تشخیص محل فایل‌ها یا فیلتر کردن حجم عظیم داده‌ها خودداری کرده‌اند. در مقابل بیشتر ابزارها روی شناسایی شبکه، تحرکات جانبی و حفظ حضور در محیط هدف متمرکز داشتند.

مهاجم به سامانه کنترل توزیع شده (DCS) دسترسی پیدا کرده و حضور خود را در آن تثبیت می‌کند. آنها از این دسترسی برای یادگیری فرایندهای عملیاتی، سرقت داده‌های حساس فیلتر نشده یا دست‌کاری بهره نمی‌گیرد، بلکه به منظور دست‌یابی به سامانه‌های تجهیزات امنیتی از آن استفاده می‌کنند. از این لحظه به بعد هکر با استفاده از چارچوب حمله تریتون روی بارگذاری درِ پشتی تمرکز می‌کند. پژوهشگران از بیان اینکه شدت آسیب در حمله‌ دوم چقدر است، خودداری کردند.