FireEye: “Il malware Triton sviluppato da un laboratorio governativo russo”

Pubblicato il 25 Ott 2018

Probabilmente ricorderete l’allarme che destò, circa un anno fa, la scoperta da parte di FireEye di un attacco malware (che venne indicato con il nome in codice di “Triton”) a un impianto di produzione industriale. FireEye non svelò i dettagli dell’impianto attaccato, ma secondo fonti attendibili (Reuters e altri) si trattava di una raffineria situata nel Vicino Oriente.

L’allarme era dovuto al fatto che l’attacco Triton non era casuale, ma mirato: il malware usato era costruito in modo da aggredire i sistemi di sicurezza basati su piattaforma Triconex. Parlammo dell’episodio in questo articolo dove potete trovare i dettagli.

Le caratteristiche dell’attacco hanno fatto pensare fin da subito a un vero e proprio episodio di cyber guerra, che non ha avuto conseguenze gravi solo per un difetto di programmazione del malware in questione, che gli ha impedito di arrivare alla fase conclusiva dell’operazione. Difetto che potrebbe anche essere stato inserito di proposito, nel caso per esempio che l’azione fosse in effetti un “penetration test” in vista di attacchi ben più massicci.

Dal momento della scoperta, FireEye ha approfondito le sue indagini su Triton e sul complesso di attività e codici malware che lo compongono, ora noto come “TEMP.Veles”. E ora, dopo mesi di indagini, FireEye ha annunciato di aver scoperto, con altissima probabilità, chi c’è dietro Triton.

Un malware di stato

CNIIHM, acronimo che sta per Central Scientific Research Institute of Chemistry and Mechanics, è la sigla di un laboratorio di ricerca tecnologica sito a Mosca e posseduto dal governo russo. Secondo FireEye, Triton è nato lì, ed è quindi, a tutti gli effetti, un malware di stato.

FireEye dichiara di avere diverse informazioni che concorrono ad attribuire la paternità del malware a questo istituto statale, anche se, per motivi di riservatezza, non le può svelare tutte. Nel suo comunicato ufficiale, FireEye elenca 5 elementi di prova:

1. FireEye ha rilevato attività di sviluppo del malware che sembrano direttamente correlate a supportare le attività di TEMP.Veles. Queste attività includono il test di varie versioni del software, alcune delle quali sono state usate durante l’episodio di intrusione con Triton citato all’inizio dell’articolo.

2. Le indagini su queste attività di test mostrano molteplici collegamenti con la Russia, con il CNIIHM e con una specifica persona a Mosca, persona che a sua volta risulta avere significativi collegamenti con il CNIIHM.

3. Un indirizzo IP registrato dal CNIIHM è stato usato dalle attività TEMP.Veles per vari scopi, fra i quali monitoraggio del camuffamento di Triton all’interno di software open source, ricognizione di rete, e attività malevole a supporto dell’intrusione di Triton.

4. I cicli delle attività osservate in TEMP.Veles si accordano bene con il fuso orario di Mosca, dove è situato il laboratorio CNIIHM.

5. FireEye ritiene che il CNIIHM possieda sia le necessarie conoscenze tecniche, sia il personale qualificato in grado di collaborare nella pianificazione e nello sviluppo di Triton e nella conduzione delle operazioni TEMP.Veles.

Molte prove, ma la certezza non c’è

FireEye inoltre afferma inoltre che, sebbene non possa escludere a priori che uno o più dipendenti del CNIIHM possano aver condotto le attività TEMP.Veles senza l’approvazione dell’azienda, tale ipotesi alla luce dei precedenti indizi risulta meno plausibile rispetto a quella che le operazioni TEMP.Veles siano condotte con il consenso dell’istituto.

Nel comunicato ufficiale, disponibile qui, FireEye scende poi nei dettagli di ognuna delle 5 affermazioni soprariportate, elencando una serie di prove a sostegno di ognuna di esse.

Leggendo i risultati delle investigazioni di FireEye sembra davvero che ci sia ben poco spazio per ipotesi alternative. Tuttavia, dobbiamo anche ricordare che al BlackHat dello scorso agosto, un team di Nozomi Networks ha presentato i risultati di un suo studio tramite il quale un piccolo gruppo di ricercatori ha ricreato un software “Triton-like” ripercorrendo gli stessi passi con ogni probabilità seguiti dagli hacker: hanno acquisito le conoscenze sul sistema Triconex da fonti ufficiali e da colloqui con esperti del settore, hanno eseguito il reverse engineering del software per capire il funzionamento del protocollo, hanno sfruttato malware open source come base per il proprio framework, e hanno costruito una stazione ICS compatibile Triconex per il test ordinando i pezzi su eBay e AliBaba. In pratica, il team ha dimostrato che un piccolo gruppo di tecnici, con un budget limitato (l’hardware necessario costava meno di 10mila dollari) può acquisire le conoscenze necessarie a creare un attacco simil-Triton con relativa facilità.

E probabilmente è solo questa tenue possibilità a impedire a FireEye di attribuire Triton e le attività TEMP.Veles con certezza assoluta al laboratorio CNIIHM e quindi al suo proprietario, il governo russo. Che rimane, comunque, il maggiore indiziato.

Valuta la qualità di questo articolo

Z
Renzo Zonin
email Seguimi su

Articoli correlati

Articolo 1 di 4