كشف باحثو الأمن عن قطعة سيئة أخرى من البرمجيات الخبيثة المصممة خصيصا لاستهداف أنظمة التحكم الصناعية (إكس) مع احتمال أن تسبب الحوادث الصحية والتهديد للحياة.
يطلق عليها اسم تريتون، المعروف أيضا باسم تريسيس، وقد تم تصميم البرمجيات الخبيثة إكس لاستهداف وحدات تحكم نظام السلامة تريكونيكس (سيس) التي أدلى بها شنايدر إلكتريك - نظام التحكم الذاتي الذي يراقب بشكل مستقل أداء النظم الحرجة ويتخذ إجراءات فورية تلقائيا، إذا كان خطرا تم الكشف عن حالة.
نشر باحثون من شركة مانديانت التابعة لشركة الامن فيريى تقريرا يوم الخميس، مما يشير الى ان المهاجمين الذين ترعاها الدولة يستخدمون البرمجيات الخبيثة تريتون لتسبب ضررا مادية للمنظمة.
ولم يتم الكشف عن اسم المنظمة المستهدفة من قبل الباحثين ولم يربطوا الهجوم بأي جماعة قرصنة تابعة للدولة القومية.
وفقا لبحث منفصل أجرته شركة الأمن الإلكتروني إكس دراغوس، الذي يدعو هذه البرمجيات الخبيثة "تريسيس"، تم شن الهجوم ضد منظمة صناعية في الشرق الأوسط.
تريتون تروجون بروتوكول تريستاتيون الملكية، وهو أداة الهندسة والصيانة التي تستخدمها منتجات تريكونيكس سيس وليس موثقة علنا، مما يشير إلى أن المهاجمين عكس هندسيا عند إنشاء البرمجيات الخبيثة الخاصة بهم.
وقال الباحثون ان "المهاجم تمكن من الوصول عن بعد الى محطة العمل الهندسية سيس ونشر إطار الهجوم تريتون لإعادة برمجة المراقبين سيس"، وقال الباحثون فيريي.
نشر المتسللين تريتون على محطة عمل الهندسة المعمارية سيس تشغيل نظام التشغيل ويندوز عن طريق تنكره كما تريكونيكس تطبيق تريكونيكس المشروعة.
وقد بنيت النسخة الحالية من البرمجيات الخبيثة تريتون أن تحليلها بنيت مع العديد من الميزات، "بما في ذلك القدرة على قراءة وكتابة البرامج وقراءة وكتابة الوظائف الفردية والاستعلام عن حالة وحدة تحكم سيس".
وقال الباحثون "خلال الحادث، دخل بعض المراقبين من جهاز المخابرات سيس الدولة الآمنة الفاشلة، والتي أغلقت تلقائيا العملية الصناعية ودفع مالك الأصول لبدء التحقيق".
باستخدام تريتون، يمكن للمهاجم عادة إعادة برمجة المنطق سيس لإغلاق زورا عملية التي هي حقيقة في حالة آمنة. على الرغم من أن مثل هذا السيناريو لن يسبب أي ضرر مادي، يمكن أن تواجه المنظمات خسائر مالية بسبب توقف العمل.
وبالإضافة إلى ذلك، يمكن للمهاجمين أيضا أن يسبب أضرارا خطيرة تهدد الحياة عن طريق إعادة برمجة المنطق سيس للسماح الظروف غير الآمنة أن تستمر أو عن طريق التلاعب عمدا في العمليات لتحقيق حالة غير آمنة أولا.
"نشر المهاجم تريتون بعد فترة وجيزة من الوصول إلى نظام سيس، مشيرا إلى أنها قد بنيت مسبقا واختبار الأداة التي تتطلب الوصول إلى الأجهزة والبرمجيات التي ليست متاحة على نطاق واسع".
ويعتقد الباحثون أن تريتون آخذة في الظهور كتهديد شديد للبنى التحتية الحيوية، مثل ستوكسنيت و أيرونغيت و إندستروير، بسبب قدراتها على إحداث أضرار مادية أو عمليات إيقاف التشغيل.
كما قدم الباحثون في سيمانتيك تحليلا موجزا هنا.
0 التعليقات:
إرسال تعليق