Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

TRITON: scoperto nuovo malware progettato per danneggiare sistemi industriali

ICS  Trisis  TRITON   venerdì, 15 dicembre 2017

Ricercatori di sicurezza hanno rivelato l’esistenza di un nuovo esemplare di malware, battezzato TRITON (o Trisis) progettato specificamente per attaccare sistemi di controllo industriali (ICS) in infrastrutture critiche, provocandone il malfunzionamento e l’interruzione dei servizi erogati.

La scoperta è avvenuta a seguito delle indagini su un incidente informatico avvenuto ai danni di una azienda non specificata. Sulla base delle evidenze riscontrate, i ricercatori sospettano che l’operazione sia stata condotta da attori sponsorizzati da uno Stato, anche se non è stata al momento ipotizzata alcuna attribuzione.

Il malware TRITON fornisce un’infrastruttura di attacco costruita per interagire con piattaforme di sicurezza e controllo critico di tipo SIS (Safety Instrumented System) a marchio Triconex (Tricon, Trident, Tri-GP), distribuiti dalla società Schneider Electric.

Un SIS è un sistema autonomo che controlla in modo indipendente lo stato di un processo. Se il processo supera i parametri che definiscono uno stato di pericolo, il SIS tenta di riportare il processo in uno stato sicuro o esegue automaticamente un arresto sicuro del processo (safe shutdown).

Stando a quanto riportato dagli analisti, gli attaccanti sono riusciti ad introdurre il malware TRITON su una workstation industriale SIS con sistema operativo Windows, mascherandolo come un’applicazione legittima Triconex Trilog, un tool impiegato per controllare i log, parte della suite TriStation. Per poter attivare il payload, TRITON richiede che lo switch a chiave sul pannello posteriore del dispositivo Triconex sia in posizione “PROGRAM” (vedi immagine).

Triconex switch

TRITON implementa il protocollo proprietario TriStation, utilizzato per configurare i controller SIS Triconex. Il malware è in grado di comunicare con il SIS, riprogrammandolo con istruzioni definite dall’attaccante o inviandogli specifici comandi per interromperne il funzionamento o leggere il contenuto della memoria.

A causa delle sue potenzialità distruttive, i ricercatori ritengono la minaccia di TRITON molto seria, paragonandola a quelle di Stuxnet, IronGate e CRASHOVERRIDE (o Industroyer).

Per maggiori dettagli tecnici sul malware TRITON, inclusi svariati IoC, e informazioni sulle soluzioni di mitigazione della minaccia, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Gravi vulnerabilità in switch Ethernet industriali Rockwell Automation

8 aprile 2019

L'ICS-CERT ha pubblicato tre avvisi di sicurezza che riguardano numerose vulnerabilità di gravità elevata all'interno delle famiglie di switch Ethernet industriali Stratix e ArmorStratix di Allen-Bradley - Rockwell Automation.Leggi tutto

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto

Vulnerabilità in sistemi di controllo e automazione industriali Yokogawa

7 gennaio 2019

È stata recentemente svelata l'esistenza di una vulnerabilità di gravità elevata di tipo DoS in sistemi di controllo distribuito (DCS) e altri prodotti della società giapponese Yokogawa. Leggi tutto