» »

Triton je novi Stuxnet

Triton je novi Stuxnet

Slo-Tech - Ker so moderni industrijski obrati krmiljeni z računalniki, lahko imajo virusi zelo resne posledice tudi v realnem svetu. Doslej smo videli že nekaj primerov, ko je računalniška koda povzročila poškodbe in težave na fizični opremi. Prvi primer je bil Stuxnet, ki je pred devetimi leti poskrbel za odpoved iranskih centrifug za bogatenje urana. Leta 2013 je Havex napadal evropske in ameriške naftne družbe, v letih 2015 in 2016 pa so ruski hekerji napadli ukrajinsko elektroenergetsko omrežje. Nasledni v vrsti nevarnih virusov je Triton, ki ga strokovnjaki opisujejo kot še bolj dodelani Stuxnet. O njem so prvikrat poročali že konec leta 2017, a še do danes niso odkrili njegovih piscev niti ga niso nevtralizirali.

Leta 2017 so ga prvikrat zalotili v divjini, ko je napadal petrokemični obrat v Saudski Arabiji. Tedaj je skorajda povzročil veliko škodo, a je napaka v kodi omogočila, da so ga še ravno pravi čas odkrili. Izkazalo se je, da je Triton napadal tisti del sistema, ki bi moral predstavljati zadnjo zaščito pred okvaro zaradi virusnih napadov. Ime je dobil, ker je bila tarča Triconex, varnostni krmilnik podjetja Schneider Electric. To je bil tudi prvi odkrit virus, ki je imel zelo jasen cilj ogroziti čim več ljudi in premoženja, saj bi ob sprožitvi povzročil izpuste vodikovega sulfida ali pa eksplozijo.

Ključno vprašanje je, kako so napadalci uspeli priti do sistemov, ki bi morali predstavljati zadnji branik pred hekerskimi napadi. Problem je industrijski internet stvari (industry internet of things), na katerega skušajo v tovarnah povezati čim več naprav. To po eni strani omogoča oddaljen nadzor in krmiljenje, po drugi strani pa predstavlja vektor za napad. V omenjeni petrokemični tovarni je bil prisoten vse od leta 2014 in napadalci so ves ta čas pripravljali teren za napad. Našli so ranljivost (0-day) v Triconexovem firmwaru in jo izkoristili. Triton ali Tritis, kot se tudi imenuje, sedaj napada tudi druge obrate.

Avtorji Tritona ostajajo neznani. Sprva so obtoževali Iran, sedaj pa strokovnjaki menijo, da je resnični izvor Rusija. Na to kažejo tudi ostanki cirilice v kodi in IP-naslov, ki je v uporabi na moskovskem inštitutu za kemijo in mehaniko.

Schneider je zgledno sodeloval v preiskavi in javno razkril ranljivosti ter pripravil popravke. Toda podobno opremo izdelujejo tudi druga podjetja, ki so takisto lahko tarče. V preteklosti so uporabniki poizkušali vse povezati v internet, da bi imeli lažji dostop. Morda bo prihodnost ravno obratna, ko se bomo trudili čim več naprav umakniti z interneta.

5 komentarjev

FireSnake ::


Morda bo prihodnost ravno obratna, ko se bomo trudili čim več naprav umakniti z interneta.


To jaz pravim že lep čas.
Med tem, ko so tu zagovorniki oblaka (nekateri celo brez šifriranja).

Kar je enkrat "gor" je gor.
Poglej in se nasmej: vicmaher.si

Ahim ::

Nasledni v vrsti ...

Zatipk.

fikus_ ::

Zihr so Rusi!

Napisano tako kot ne bi mogel pisec vstavit še nekaj poljubnih vrstic, da napelje na neko drugo sled!

c3p0 ::

Ne, pisec virusa tega nikoli ne bi storil. Rusi so bili.

japol ::

Ja rusi... pa pozabili so svoj IP v kodi. Tolk napredna zadeva a "pozabiš" na kaj takega...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izsiljevalska zlobna koda pričenja napadati industrijske sisteme

Oddelek: Novice / Varnost
106545 (5474) ssokec
»

Kaj se je dogajalo v hekerskem napadu na ukrajinsko omrežje

Oddelek: Novice / Varnost
3512199 (10439) Markoff
»

Kako je britanski GCHQ vdrl v belgijski Belgacom

Oddelek: Novice / Varnost
3824652 (21390) matijadmin
»

VUPEN že odkril ranljivosti v Windows 8

Oddelek: Novice / Varnost
135314 (4082) ender
»

Za napadom na Saudi Aramco bržčas Iran

Oddelek: Novice / Varnost
306600 (5056) Daedalus

Več podobnih tem