De Duitse overheid heeft regels voor het intrusion prevention system Snort gemaakt die fabriekssystemen tegen de Triton-malware moeten beschermen. Vorig jaar wisten aanvallers via de Triton-malware toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation van een Petrochemische fabriek in Saudi- Arabië. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek.

Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Doordat de aanvallers een fout maakten schakelden de controllers zichzelf uit. Inmiddels zouden de aanvallers hun fout hebben verholpen en zou het slechts een kwestie van tijd zijn voordat ze dezelfde techniek tegen een ander industrieel controlesysteem inzetten, zo waarschuwen de onderzoekers.

Om systemen tegen dergelijke aanvallen te beschermen heeft het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, nu specifieke Snort-regels voor de Triton-malware gemaakt en die online gezet. Snort is een intrusion prevention system dat netwerkverkeer kan monitoren. Via Snort-regels kan het systeem bepaalde zaken in het netwerkverkeer herkennen en blokkeren, net zoals een virusscanner van signatures gebruikmaakt. Bij de ontwikkeling van de Snort-regels heeft het BSI samengewerkt met securitybedrijf FireEye en het National Cybersecurity and Communications Integration Center (NCCIC) van de Amerikaanse overheid.