Federal Soruşturma Bürosu yakın tarihli bir uyarıda, küresel enerji sektörünün Triton kötü amaçlı yazılımına karşı tetikte olması gerektiğini söyledi.
FBI, Özel Sektör Bildiriminde (Trisis ve HatMan olarak da bilinir), “fiziksel güvenlik sistemlerinin çalışmayı durdurmasına veya güvenli olmayan bir şekilde çalışmasına neden olmak” için tasarlanmıştır.PIN 20220324-001). Kötü amaçlı yazılım, 2017 yılında Orta Doğu’daki bir petrokimya tesisine yönelik bir siber saldırıda kullanıldı. Rus hükümeti destekli bir araştırma kurumu olan Rusya Merkezi Bilimsel Kimya ve Mekanik Araştırma Enstitüsü’nün (TsNIIkhM) saldırıyı gerçekleştirdiğine inanılıyor ve geçen hafta Amerika Birleşik Devletleri Adalet Bakanlığı bir Rus uyruklu ve bir TsNIIkhM aleyhindeki iddianameyi açıkladı. Bu saldırıya karışan bir çalışan.
2017 saldırısında Triton, acil durumlarda güvenli kapatma prosedürlerini başlatan bir Schneider Electric Triconex güvenlik enstrümanlı sistemini (SIS) hedef aldı. Saldırgan ilk erişim elde etti ve ardından güvenlik sistemine girmek için BT ve OT ağları arasında yanlamasına hareket etti. Kötü amaçlı yazılım, Triconex Tricon güvenlik denetleyicileri için bellek içi bellenimi değiştirdi. FBI, sistemin güvenli kapatma prosedürlerini başlatacağı bir durumda, kontrolörlerin değiştirilmesi gerçeğinin potansiyel olarak tesiste hasara, sistem kesintisine ve hatta can kaybına yol açabileceğini söylüyor.
FBI, TsNIIkhM’nin hala küresel enerji sektörüne karşı faaliyetler yürüttüğüne inanılıyor. FBI, “Orijinal Triton olayında kullanılan saldırı çerçevesine ve kötü amaçlı yazılıma dayanarak, benzer bir saldırı diğer SIS’lere karşı tasarlanabilir” diyor.
Schneider Electric, Tricon denetleyicisindeki hatayı düzeltirken, eski sürümler hala kullanımda ve savunmasız kalıyor. FBI uyarısına göre, potansiyel olarak etkilenen kritik altyapı varlık sahipleri ve operatörleri, SIS sistemlerini düzenli olarak değerlendirmeli ve izlemeli, bu sistemlere erişimi olan personeli izlemeli ve acil durum planları uygulamalıdır. PIN, SIS’den veri alması gereken uygulamalar için tek yönlü bir ağ geçidi kullanılması da dahil olmak üzere diğer önerileri özetlemektedir; güvenlik kontrolörü çalışma durumu kilit pozisyonları için değişiklik yönetimi prosedürlerinin uygulanması; izole ağlara güvenlik sistemleri yerleştirmek; ve erken aşamadaki keşif faaliyetinin işaretleri için ağ cihazlarından, web sunucularından ve üçüncü taraf araçlardan gelen günlükleri kontrol etme.