De Triton-malware die bij een aanval tegen het industriële veiligheidssysteem van een fabriek werd ingezet maakte gebruik van een zeroday-lek in de Triconex Tricon-firmware van Schneider Electric, zo heeft de fabrikant van energiemanagement en procesautomatisering tijdens een conferentie laten weten.

De malware bleek in staat te zijn om Triconex Safety Instrumented System (SIS) controllers aan te passen. Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. "Zodra de malware binnen de controller was, injecteerde het een remote access trojan in het geheugen door gebruik te maken van een zeroday-lek in de firmware om zijn rechten te verhogen", aldus Paul Forney van Schneider Electric tegenover DarkReading.

Eerder stelde beveiligingsbedrijf FireEye dat de malware nog in ontwikkeling was. Een fout in de gebruikte aanvalsscripts zou ervoor hebben gezorgd dat de SIS-controllers onbedoeld in de failed state terechtkwamen. Daardoor is het uiteindelijke doel van de malware onbekend, aldus Andrew Kling van Schneider Electric. Wel laat de aanval zien dat de aanvaller kennis had van het gesloten Schneider-protocol dat voor de aansturing van de controllers wordt gebruikt.

De fabrikant werkt nu aan een beveiligingsupdate voor de firmware. In de tussentijd zijn er advisories voor kwetsbare klanten uitgegeven, alsmede tools om de aanval tegen te gaan. Zo is er software ontwikkeld om de Triton-malware in controllers te detecteren. Tevens is de fabrikant bezig met het aanpassen van ontwikkelprocessen en procedures om de beveiliging aan te scherpen. Ook Schneider Electric geeft geen details over de aangevallen fabriek, maar securitybedrijf Dragos stelde eerder al dat het om een fabriek in het Midden-Oosten ging (pdf). Eerder deze week verscheen er een uitgebreide analyse van de Triton-malware online.