Malware valt industrieel veiligheidssysteem aan

Na Stuxnet, gericht op centrifuges voor uraniumverrijking in Iran in 2009, en Industroyer/Crash Override  dat in 2015 het licht uit wilde doen Oekraïne, is Triton/Trisis voor zover bekend pas het derde stuk kwaadaardige software dat zich expliciet richt op industriële systemen. Volgens de experts van Schneider maakt de malware misbruik van een foutje in de firmware van het Triconex Tricon-veilheidsinstrumentatiesysteem. Dit systeem wordt onder andere in nucleaire installaties en de petrochemie toegepast. Het zorgt voor het veilig uitschakelen van industriële processen mochten gevaarlijke situaties worden gedetecteerd.

RAT

De hackers zijn er allereerst in geslaagd malware in de installatie te brengen door onvolkomenheden in de veiligheidsprocedures, volgens een artikel in Wired. Hierdoor konden ze toegang krijgen tot verschillende stations en het veiligheidsbesturingssysteem. Vervolgens is gebruikgemaakt van een tot dan toe onbekende fout in de genoemde firmware. Daarna is een op afstand toegankelijke ‘trojan’ losgelaten (RAT – Remote Access Trojan), volgens de onderzoekers een primeur als het gaat om malware die gericht is op industriële systemen.

Herkomst onbekend

Volgens Schneider zit de fout alleen in enkele oudere Tricon-versies, maar had in dit geval wel direct invloed op het ‘safety shutdown’-systeem. Geprobeerd is ongemerkt de verschillende lagen in de veiligheidsprotocollen te manipuleren. Gelukkig activeerde het systeem per ongeluk verschillende afschakelprocedures voor noodgevallen en werd het ontdekt. Aan een software-update wordt gewerkt.

Volgens Reuters heeft ook ABB vorige maand zijn klanten gewaarschuwd dat elk veiligheidssysteem doelwit van een soortgelijke aanval kan zijn.