Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

В Сети начали пропадать цифровые следы, указывавшие на  возможную связь вредоноса Triton с РФ

18/04/19

Triton

В октябре минувшего года компания FireEye опубликовала отчет, в котором высказала предположение о том, что к созданию вредоносного ПО Triton (также известного как Trisis и HatMan), предназначенного для атак на АСУ ТП, могут быть причастны разработчики из РФ. В своем докладе компания упомянула расположенный в Москве Центральный научно-исследовательский институт химии и механики (ЦНИИХМ), хотя подчеркнула, что не связывает Triton непосредственно с исследовательской лабораторией. Речь шла о второстепенных модулях, которые тестировала некая хакерская группа TEMP.Veles, предположительно связанная с РФ. Эксперты не исключили вероятность, что один или несколько сотрудников ЦНИИХМ осуществляли деятельность, связанную с TEMP.Veles, без ведома руководства.

Как рассказал в интервью изданию SecurityWeek старший аналитик FireEye Нэйтан Брубэйкер (Nathan Brubaker), спустя некоторое время после публикации отчета из Сети начали исчезать цифровые следы, позволившие связать Triton с РФ. В частности, с сайта ЦНИИХМ были удалены некоторые фотографии, в том числе сотрудника якобы связанного с Triton, кроме того, были изменены данные об отделе, где он работал.

Также были исправлены данные WHOIS, указывавшие на связь фигурировавших в отчете IP-адресов с институтом. Ранее один из этих адресов был замечен в разведывательной кампании, направленной на предприятия-операторы критической инфраструктуры, а также в другой вредоносной деятельности, к которой предположительно была причастна TEMP.Veles.

О существовании вредоносной программы Triton стало известно в августе 2017 года после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке. Triton предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способен вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.

В апреле нынешнего года специалисты рассказали о новой атаке с использованием вредоносного ПО Triton, направленной на одно из предприятий критической инфраструктуры. Аналитики не раскрыли ни название компании, ни приблизительный период, когда была совершена атака. Как отмечается, злоумышленники выжидали почти год, незаметно проводя рекогносцировку, и только затем использовали доступ к автоматической системе функциональной безопасности (Safety Instrumented System, SIS).

Темы:ОтрасльFireEyeTriton
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...