تریتون دومین قربانی خود را گرفت

به گزارش کارگروه حملات سایبری سایبربان؛ بدافزار تریتون (Triton) در سال 2017، به شرکت نفت و گاز پترو رابغ، از زیرساخت‌های پتروشیمی عربستان سعودی حمله کرده بود.

محققان شرکت فایرآی (Fire Eye)، در زمان برگزاری اجلاس تحلیل امنیتی کسپراسکی 2019 (SAS 2019) اعلام کردند که این بدافزار -که با نام تریسیس (Trisis) نیز شناخته می‌شود- دومین قربانی خود را گرفته است. تحلیلگران شرح دادند که سامانه‌ی کنترل صنعتی (ICS) مورد حمله واقع شده، در آسیای غربی قرار دارد؛ اما از ذکر کردن نام شرکت قربانی خودداری کردند. آن‌ها همچنین ادعا می‌کنند؛ مدارکی در اختیار دارند که ثابت می‌کند مهاجمان، هکرهای وابسته به دولت روسیه هستند.

تریتون به کنترل‌های سامانه‌های تجهیزات امنیتی (SIS) حمله می‌کند. یک مجموعه از کنترل‌های سخت‌افزاری و نرم‌افزاری که در سامانه‌های پردازش بحران به کار گرفته می‌شود. این ابزارها، در زمان وقوع حوادثی مانند: آتش‌سوزی و انفجار، به منظور جلوگیری از آسیب رسیدن به تأسیسات و خطرات جانی، سامانه‌ها را خاموش و مجموعه عملیات‌ را متوقف می‌کنند.

تریسیس در حمله اول، ابزارهای تریکانکس (Triconex) تولیدشده توسط شرکت اشنایدر الکتریک (Schneider Electric) را مورد حمله قرار داده بود. در این تهاجم، تریتون خود را به عنوان یک برنامه‌ی کاربردی قانونی معرفی می‌کرد که برای خواندن لاگ‌های سامانه از آن استفاده می‌شود. به نظر می‌رسد این بدافزار، با غیرفعال کردن راه‌کارهای ایمنی، امکان انجام دادن حملات فیزیکی به زیرساخت‌ها را فراهم می‌کند. حتی ممکن است درصورت موفقیت، آسیب جانی در پیش باشد. این نرم‌افزار مخرب، با خاموش کردن فرآیند تریکانکس، در حالت‌های امن قادر بود در رشته عملیات‌ و خدمات آن شرکت، اختلال ایجاد کند.

از نظر کارشناسان، توانایی تریتون برای ایجاد آسیب‌های فیزیکی به زیرساخت‌ها، آن را تبدیل به رقیبی برای استاکس نت و اینداسترویر (Industroyer) کرده است که به ترتیب، به تأسیسات هسته‌ای ایران و شبکه برق اوکراین حمله کرده بودند.

مهاجمان در حمله‌ی دوم، بدافزار خود را اصلاح کردند و از حدود یک سال قبل، به شبکه‌ی ایستگاه کاری مهندسی هدف خود نفوذ نمودند. هکرها در طول این دوره، با اولویت‌بندی امنیت عملیات، از شناسایی شدن خود، جلوگیری به عمل آورده بودند.

بازیگران تریتون، به منظور نفوذ به سامانه کنترل صنعتی، از یک الگوی رایج بهره می‌گیرند. این روش، جابه‌جایی از فناوری یک شرکت به شبکه‌های فناوری عملیاتی (OT)، به واسطه سامانه‌های در دسترس هر 2 محیط است. تجزیه‌وتحلیل فایرآی نشان می‌دهد که در حمله‌ی دوم، پس از نفوذ اولیه به شبکه شرکت، هکرها روی دسترسی به بستر فناوری عملیاتی تمرکز کردند. این افراد، از تعداد فراوانی ابزارهای سفارشی سازی شده، بهره گرفته بودند که در گذشته مشاهده نشده بود.

تعدادی از ابزارهای سفارشی‌سازی شده بالا، با تمرکز روی آنتی‌ویروس‌ها، سعی در پنهان‌سازی تریتون داشتند. همچنین تعدادی از ابزارهای سفارشی‌سازی شده و رایج مورد بهره‌برداری قرار گرفته، با نام‌های «SecHack» و «Mimikatz»، وظیفه سرقت اعتبارنامه‌ها را برعهده داشته، یک خروجی تقریباً مشابه را ارائه می‌دهند.

محققان فایرآی، در زمان تحقیقات متوجه شدند که تعدادی از ابزارهای مورد استفاده در تریتون، از سال 2014 درحال تکامل بوده‌اند.

فایرآی اشاره کرد که مهاجمان از اجرای فعالیت‌های جاسوسی آشکار مانند استفاده از کی لاگر، ابزار گرفتن اسکرین شات، تشخیص محل فایل‌ها، یا فیلتر کردن حجم عظیم داده‌ها خودداری کرده‌اند. در مقابل، بیشتر ابزارها، روی شناسایی شبکه، تحرکات جانبی و حفظ حضور در محیط هدف، تمرکز داشتند.

مهاجم به سامانه کنترل توزیع شده (DCS) دسترسی پیدا و حضور خود را در آن تثبیت می‌کند. آن‌ها از این دسترسی، برای یادگیری فرآیندهای عملیاتی، سرقت داده‌های حساس فیلتر نشده، یا دست‌کاری اطلاعات بهره نمی‌گیرند؛ بلکه به منظور دستیابی به سامانه‌های تجهیزات امنیتی، از آن استفاده می‌کنند. از این لحظه به بعد، هکر با استفاده از چارچوب حمله تریتون، روی بارگذاری درب پشتی متمرکز می‌‌گردد.

پژوهشگران از بیان این که شدت آسیب در تهاجم دوم چقدر است، خودداری کردند.