محققان امنیتی بدافزار جدیدی را کشف کرده اند که سیستم های کنترل صنعتی را تهدید می کند و عملکرد آن علیه این سیستم ها می تواند مشکلات سلامتی و تهدیدات و خطرات جانی را به دنبال داشته باشد. بدافزار تریتون که با نام Trisis نیز شناخته می شود، برای هدف قرار دادن سیستم های کنترل ایمنی طراحی شده است.
براساس گزارشی که روز پنجشنبه توسط محققان امنیتی فایرآی منتشر شد، نفوذگران تحت حمایت دولت، این بدافزار را برای ایجاد تهدیدات و حملات فیزیکی در سازمانها طراحی کردهاند. در این گزارش نه نامی از سازمانهایی که هدف حمله قرار گرفتهاند اعلام شده و نه اینکه بدافزار به دولت و کشور خاصی نسبت داده شده است. تنها در یک گزارش جداگانه اعلام شده که بدافزار تریتون، حملاتی را علیه یک سازمان صنعتی در خاورمیانه انجام داده است.
این بدافزار از پروتکل اختصاصی TriStation استفاده میکند. این پروتکل یک ابزار مهندسی و نگهداری است که در محصولات کنترل سیستم ایمنی مورد استفاده قرار میگیرد و بهطور عمومی مستندسازی نشده است و این موضوع نشان میدهد که مهاجمان در زمان طراحی این بدافزار، کدهای مربوط به این محصولات را به شیوهی مهندسی معکوس مورد بررسی قرار دادهاند.
مهاجمان بدافزار تریتون را در محیط کاری کنترلر سیستم ایمنی قرار دادند که بر روی آن سیستم عامل ویندوز وجود داشت و بدافزار خود را به جای یک برنامه ی کاربردی Triconex Trilog جا میزد. در آخرین نسخه از بدافزار تریتون که محققان مورد بررسی قرار دادند، ویژگیها و قابلیتهای زیادی ارائه شده است. از جملهی این قابلیتها میتوان قابلیت خواندن و نوشتن برنامهها، خواندن و نوشتن توابع و پرسوجو زدن بر روی کنترلر سیستم ایمنی را نام برد.
مهاجم میتواند با استفاده از بدافزار تریتون، منطق کنترلر در سیستمهای کنترل صنعتی را مجددا برنامهریزی کرده و کاری کند که پردازهها از کار بیفتند و خاتمه یابند در حالی که سیستم در حالت درستی قرار داشته است. این سناریو ممکن است هیچگونه صدمات فیزیکی برای سازمان به دنبال نداشته باشد ولی متوقف شدن پردازهها میتواند ضرر مالی در پی داشته باشد. با این حال مهاجمان با برنامهریزی مجدد کنترلر و قرار دادن سیستم در شرایط نامساعد و ناامن، میتوانند تهدیدات جانی را نیز ایجاد کنند. محققان معتقدند بدافزار تریتون نیز میتواند مانند تهدیدات استاکسنت و IronGate به یک تهدید بزرگ در حوزهی سیستمهای کنترل صنعتی تبدیل شود.