Onderzoekers zeggen dat ze een nieuw slachtoffer hebben ontdekt van de hackersgroep achter de schadelijke malware Triton, ook wel Trisis genoemd.
Om precies te zijn gaat het om beveiligingsexperts van FireEye, die moesten reageren op een inbreuk op een geheime, vitale infrastructuurfaciliteit. Vitale infrastructuur is een term die vaak gebruikt wordt in de beveiligingswereld, en waar belangrijke faciliteiten als energiecentrales, drinkwatervoorziening en betalingsverkeer mee worden aangeduid. De onderzoekers van FireEye hebben niet gezegd wie het doelwit van deze aanval was; beveiligingsbedrijven mogen meestal niet zomaar prijsgeven door wie ze precies zijn ingehuurd.
Videos by VICE
Wel hebben ze gezegd dat de daders dezelfde hackers zijn die achter Triton zaten – een soort malware waarmee eerder al de Arabische oliegigant Petro Rabigh was aangevallen. Toen hadden de daders de malware gebruikt om industriële processen in de war te schoppen, waarmee ze onbedoeld het hele proces stillegden. Experts op het gebied van infrastructuurbeveiliging noemden het de meest moordlustige malware-aanval in de geschiedenis, gezien het zeer reële risico op fysieke schade. De experts van FireEye vermoeden dat Triton is ontwikkeld door een onderzoekslab dat banden heeft met de Russische overheid.
“De dader heeft tientallen zelfgemaakte inbraaktools gebruikt om toegang te krijgen tot de IT- en OT-netwerken,” schreef FireEye in een rapport over de aanval dat ze voor publicatie al met Motherboard deelden. OT staat voor ‘Operational Technology’, computersystemen die gebruikt worden om industriële operaties te beheren. “De dader had bijna een jaar lang toegang tot deze netwerken, voordat er ook toegang werd verkregen tot het Safety Instrumented System (SIS).”
Volgens de FireEye-onderzoekers zijn de hackers achter Triton actief sinds 2014, wat waarschijnlijk betekent dat er nog wel meer slachtoffers zijn.
Het was ook FireEye dat de aanval op Petro Rabigh in 2017 bekend had gemaakt. “De duisternis had zich over de raffinaderij langs de kust van Saudi-Arabië verspreid, waardoor twee noodstopsystemen in actie moesten komen,” schreef Blake Sobczak, verslaggever van E&E News. “In een laatste poging om een gaslek en een dodelijke explosie te voorkomen, werd een deel van het Petro Rabigh-complex uitgeschakeld.”
Het is niet bekend hoeveel schade de hackers achter Triton bij deze recente aanval hebben aangericht, of wilden aanrichten. De onderzoekers van FireEye raden faciliteiten in de vitale infrastructuur aan om gebruik te maken van hun gepubliceerde informatie, en om hun eigen systemen te controleren op malware, “omdat we geloven dat de kans groot is dat de hackers toegang tot meerdere systemen hebben”.