Nieuws
image

VS neemt sancties tegen onderzoeksinstituut verdacht van Triton-malware

zondag 25 oktober 2020, 08:34 door Redactie, 2 reacties

Het Amerikaanse ministerie van Financiën heeft sancties genomen tegen een Russisch onderzoeksinstituut dat wordt verdacht van de ontwikkeling van de Triton-malware. De malware werd onder andere tegen een Petrochemische fabriek in Saudi-Arabië ingezet.

Aanvallers wisten via de Triton-malware toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation van de fabriek. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld.

Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Securitybedrijf FireEye stelde in 2018 dat het sporen had gevonden die erop wijzen dat de malware is ontwikkeld door het Russische Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM). Dit is een onderzoeksinstituut van de Russische overheid dat zich in Moskou bevindt.

Eén van de aanwijzingen voor betrokkenheid van het CNIIHM is de ontdekking van een omgeving die werd gebruikt om de malware te testen. Vier bestanden waarvan de malware gebruikmaakte werden in 2014 getest en aangepast om de detectie door anti-virussoftware te voorkomen. De laatste versies werden in 2017 getest en een week later bij de aanval tegen de fabriek ingezet. Verder werd in de malware een naam gevonden die naar een onderzoeker wees die ook hoogleraar bij het CNIIHM was.

"De ontwikkeling en het gebruik van de Triton-malware tegen onze partners is met name verontrustend gegeven de betrokkenheid van de Russische overheid bij gevaarlijk cyberactiviteiten", aldus het Amerikaanse ministerie van Financiën, dat als voorbeeld de NotPetya-aanval noemt. Vorig jaar raakt vitale infrastructuur van een niet nader genoemd land besmet met de Triton-malware, aldus FireEye. De aanvallers achter de malware zouden ook naar kwetsbaarheden bij Amerikaanse instellingen zoeken.

Vanwege het opzettelijk ontwikkelen van de malware om namens de Russische overheid de cybersecurity van personen en instellingen te ondermijnen zijn er nu sancties genomen, laat het ministerie weten. Zo worden alle tegoeden van het onderzoeksinstituut die in bezit van Amerikaanse personen zijn of komen bevroren en mogen Amerikaanse personen geen transacties met het instituut uitvoeren.

Reacties (2)
25-10-2020, 12:42 door Anoniem
Hoe zit het met stuxnet? Waarmee mee kerncentrales zijn geinfecteerd? Wat als de Russen dit niet hadden ontdekt? Dan zouden er meer kernrampen zijn gebeurd in Iran. Moeten zij nu ook sancties nemen tegen de VS en Israel? De VS doet me denken aan Hitler met zn fake flag aanvallen. Wie de bal kaatst mag het terug verwachten, al hoewel ik denk dat de stuxnet makers hier achter zitten
25-10-2020, 16:22 door Anoniem
Ik heb hier een mooie analyse gevonden over de anatomie van de Triton RAT aanval van de hand van Nimrod Stoler (credits to him): https://www.cyberark.com/resources/threat-research-blog/anatomy-of-the-triton-malware-attack

Het gaat er natuurlijk hierbij om zo lang mogelijk onder de radar te kunnen blijven tot het moment dat de daadwerkelijke payload dient te wordent losgelaten.

Het artikel spreekt ook over mogelijke protectie in de vorm van netwerk segmentatie, least privilege over av-detectie en virtual machines die de applicatie code moeten draaien.

Ik denk dat de laatstgenoemde protectie meer effect gaat sorteren dan het opleggen van sancties.
Tritin Malware komt over het algemeen ongesigneerd binnen als alle "targeted attacks". ;)

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search