Triton je novi Stuxnet
Matej Huš
11. mar 2019 ob 21:48:19
Ker so moderni industrijski obrati krmiljeni z računalniki, lahko imajo virusi zelo resne posledice tudi v realnem svetu. Doslej smo videli že nekaj primerov, ko je računalniška koda povzročila poškodbe in težave na fizični opremi. Prvi primer je bil Stuxnet, ki je pred devetimi leti poskrbel za odpoved iranskih centrifug za bogatenje urana. Leta 2013 je Havex napadal evropske in ameriške naftne družbe, v letih 2015 in 2016 pa so ruski hekerji napadli ukrajinsko elektroenergetsko omrežje. Nasledni v vrsti nevarnih virusov je Triton, ki ga strokovnjaki opisujejo kot še bolj dodelani Stuxnet. O njem so prvikrat poročali že konec leta 2017, a še do danes niso odkrili njegovih piscev niti ga niso nevtralizirali.
Leta 2017 so ga prvikrat zalotili v divjini, ko je napadal petrokemični obrat v Saudski Arabiji. Tedaj je skorajda povzročil veliko škodo, a je napaka v kodi omogočila, da so ga še ravno pravi čas odkrili. Izkazalo se je, da je Triton napadal tisti del sistema, ki bi moral predstavljati zadnjo zaščito pred okvaro zaradi virusnih napadov. Ime je dobil, ker je bila tarča Triconex, varnostni krmilnik podjetja Schneider Electric. To je bil tudi prvi odkrit virus, ki je imel zelo jasen cilj ogroziti čim več ljudi in premoženja, saj bi ob sprožitvi povzročil izpuste vodikovega sulfida ali pa eksplozijo.
Ključno vprašanje je, kako so napadalci uspeli priti do sistemov, ki bi morali predstavljati zadnji branik pred hekerskimi napadi. Problem je industrijski internet stvari (industry internet of things), na katerega skušajo v tovarnah povezati čim več naprav. To po eni strani omogoča oddaljen nadzor in krmiljenje, po drugi strani pa predstavlja vektor za napad. V omenjeni petrokemični tovarni je bil prisoten vse od leta 2014 in napadalci so ves ta čas pripravljali teren za napad. Našli so ranljivost (0-day) v Triconexovem firmwaru in jo izkoristili. Triton ali Tritis, kot se tudi imenuje, sedaj napada tudi druge obrate.
Avtorji Tritona ostajajo neznani. Sprva so obtoževali Iran, sedaj pa strokovnjaki menijo, da je resnični izvor Rusija. Na to kažejo tudi ostanki cirilice v kodi in IP-naslov, ki je v uporabi na moskovskem inštitutu za kemijo in mehaniko.
Schneider je zgledno sodeloval v preiskavi in javno razkril ranljivosti ter pripravil popravke. Toda podobno opremo izdelujejo tudi druga podjetja, ki so takisto lahko tarče. V preteklosti so uporabniki poizkušali vse povezati v internet, da bi imeli lažji dostop. Morda bo prihodnost ravno obratna, ko se bomo trudili čim več naprav umakniti z interneta.