Triton, il malware che insidia i sistemi di sicurezza industriale

Lo hanno ribattezzato Triton. È un malware in grado di manipolare e azzerare i sistemi di sicurezza industriali. Qualche giorno fa gli analisti di Fireeye, società specializzata in difese informatiche, hanno pubblicato un rapporto in cui individuano il virus, strutturato per interagire con i sistemi responsabili della sicurezza operativa industriale (Sis) a marchio Triconex. Il malware può attivare le difese di un impianto in maniera artificiosa, per bloccarne l’operatività, oppure alterare i parametri di sicurezza che i Sis monitorano, aumentando sensibilmente le possibilità che si verifichi un incidente imprevisto. Secondo i ricercatori, l’attacco è legato a uno Stato.

Il virus

I Sis sono sistemi inseriti negli impianti industriali per evitare incidenti e i danni conseguenti. Quando la situazione sfugge di mano, questi strumenti hanno il compito di attivare le difese e di salvaguardare la vita dei lavoratori, delle popolazioni circostanti, tutelare l’ambiente e l’impianto stesso. Fireeye ha svelato che Triton punta a mettere fuori uso queste contromisure nelle piattaforme Triconex. L’attacco è stato rilevato ad agosto in un’azienda non specificata, che secondo la Reuters si troverebbe in Medio Oriente. Secondo gli analisti il modus operandi si avvicina a quello tipico di attività russe, iraniane, nordcoreane e statunitensi. È simile a Stuxnet, scoperto nel 2010, o Industroyer, individuato nel 2016.

Il malware si è introdotto attraverso una postazione di lavoro Sis, su cui era installato Windows, e si è mascherato come applicazione legittima. A quel punto il virus è in grado di riprogrammare l’impianto dallo stesso pannello di controllo che dovrebbe salvaguardarlo. Quando gli hacker hanno tentato di colpire l’azienda obiettivo, il malware è stato scoperto e successivamente studiato.

L’attacco

Obiettivo di un malware di questo tipo non è tanto di rubare dati, quanto di compromettere l’attività di un impianto e di un’infrastruttura critica, come una rete energetica, mezzi di trasporti, sistemi di comunicazione. Inoltre, secondo gli analisti, l’hacker che maneggia un simile programma deve avere una “conoscenza specialistica di ingegneria, per comprendere i processi industriali” e per “manipolarli con successo”. Fireeye riconosce che il malware può provocare tre incidenti: bloccare un impianto, riprogrammarlo per azzerare i sistemi di sicurezza e, addirittura, creare una situazione di rischio artificiosamente, affinché le difese non intervengano e la situazione causi dei danni.

I consigli

I sistemi Triconex (fonte)

I tecnici di Fireeye suggeriscono di operare la segregazione delle reti di sicurezza. In caso di presenza di dispositivi fisici per attivare i Sis, come nel caso di Triconex, non vanno lasciati nella funzione Program, cosa che ha permesso al malware di intrufolarsi nella rete. Inoltre invitano a verificare di continuo lo stato delle chiavi di accesso a queste reti e di monitorare il traffico dati per evidenziare attività sospette o anomale.

Luca Zorloni

Cronaca ed economia mi sono sembrate per anni mondi distanti dal mio futuro. E poi mi sono ritrovato cronista economico. Prima i fatti, poi le opinioni. Collaboro con Il Giorno e Wired e, da qualche mese, con Innovation Post.

Luca Zorloni ha 125 articoli e più. Guarda tutti gli articoli di Luca Zorloni

Un pensiero riguardo “Triton, il malware che insidia i sistemi di sicurezza industriale

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Pin It on Pinterest