Levensgevaarlijke ‘killer malware-code’ Triton breidt wereldwijd uit

De frauduleuze ‘killer malware-code’ genaamd Triton kan beveiligingssystemen die catastrofale industriële ongevallen voorkomen uitschakelen. De code, ontwikkeld om opzettelijk mensenlevens in gevaar te brengen, is in 2017 ontdekt in een petrochemische fabriek in Saudi-Arabië. De hackers achter Triton zouden zich nu richten op Noord-Amerika en andere delen van de wereld, aldus MIT Technology Review.

Volgens de Australische veiligheidsspecialist Julian Gutmanis, ontdekker van de levensgevaarlijke malware, lijkt het erop dat de hackers al in 2014 in het IT-netwerk van het petrochemische bedrijf zijn beland. Om tactische- en veiligheidsredenen wordt de naam van het bedrijf bewust niet vrijgegeven.

Van daaruit hebben ze uiteindelijk een weg gevonden naar het eigen netwerk van de fabriek. Gutmanis vermoedt hoogstwaarschijnlijk door een gat in een slecht geconfigureerde digitale firewall, die ongeautoriseerde toegang moest stoppen. 

Hackers

Vervolgens wisten de hackers toegang te krijgen tot een engineering workstation; hetzij door een niet-gepatched gebrek in de Windows-code te misbruiken of door de inloggegevens van een medewerker te onderscheppen. De hackers konden het merk en het model van de hardwarecontrollers van de systemen leren kennen.  Het workstation communiceerde met de systemen met veiligheidsinstrumenten van de fabriek. De hackers kenden ook de versies van de firmware-software die in het geheugen van een apparaat is ingebed en bepaalt hoe deze communiceert.

Eerder bevestigde Schneider Electric al dat de Triton-malware gebruik maakte van een zeroday-lek in de Triconex Tricon-firmware van het bedrijf. De malware bleek in staat om het zogeheten Triconex Safety Instrumented System (SIS) controllers aan te passen. Een SIS wordt veelal omschreven als een autonoom controlesysteem, dat onafhankelijk de status van de processen monitort.

Rusland

Gutmanis beschouwde Triton aanvankelijk als het werk van Iran, aangezien Saoedi-Arabië en Iran aartsvijanden zijn. Maar volgens het cyberbeveiligingsbedrijf FireEye, die al vrij vroeg in het ‘Triton-onderzoek’ betrokken werd, zijn er aanwijzingen voor betrokkenheid van Rusland. Zo zouden er verschillende namen in Cyrillische tekens zijn ontdekt en is er een IP-adres aangetroffen dat op naam staat van het Central Scientific Research Institute of Chemistry and Mechanics in Moskou. Bovendien zou er ook bewijs zijn voor betrokkenheid van een van de professoren van dit instituut.

Dan Coats, directeur van de Amerikaanse nationale inlichtingendienst, waarschuwde vorig jaar al voor het toenemende gevaar van een verlammende cyberaanval op kritische Amerikaanse infrastructuur. Het schetste destijds een parallel met de toegenomen cyberchatsessies, die Amerikaanse inlichtingendiensten ontdekten bij terroristische groeperingen vóór de aanslag van het World Trade Center in 2001. “We zijn bijna twee decennia verder en de rode waarschuwingslichten knipperen weer volop. Tegenwoordig wordt de digitale infrastructuur, die dit land bedient, letterlijk aangevallen.”

Industrial IoT

De ontwikkeling van ‘killer malware-codes’ als Triton valt samen met de opkomst van de zogeheten industriële Internet of Things.  Met deze connectiviteit kunnen medewerkers op afstand apparatuur monitoren en snel gegevens verzamelen, zodat ze efficiënter kunnen werken. Maar het geeft hackers ook meer potentiële doelen. Iets wat potentieel zeer gevaarlijk kan zijn.

Wat als hackers de bug per ongeluk introduceerden en in plaats van een veilige shutdown te veroorzaken, de veiligheidssystemen van de installatie uitschakelen net op het moment dat een menselijke fout of andere fout een van de kritieke processen in de fabriek misgaat? Dit kan leiden tot catastrofale gevolgen, zelfs als de hackers het zo niet bedoelen.