0
0
O Departamento do Tesouro dos Estados Unidos do Escritório de Controle de Ativos Estrangeiros (OFAC) anunciou sanções contra um instituto do governo russo ligado ao destrutivo malware Triton.
Inicialmente identificado em 2017 nos sistemas de uma empresa de petróleo e gás da Arábia Saudita e também referido como Trisis e HatMan, Triton é conhecido pelo alvo dos controladores do Sistema De Segurança Triconex da Schneider Electric (SIS).
Referido por alguns como Xenotime, acredita-se que o ator de ameaças por trás do malware esteja ativo desde pelo menos 2014, e em certo momento expandiu as atividades para a Austrália, Europa e EUA, e adicionou utilitários elétricos à sua lista de alvos.
Em 2018, o FireEye associou Tritão às organizações de pesquisa técnica russas Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM).
Na Conferência de Segurança Cibernética do ICS 2019 da SecurityWeek em Cingapura, o FireEye revelou que as evidências que ligam Triton ao CNIIHM começaram a desaparecer após a publicação de seu relatório de 2018, incluindo fotos, detalhes sobre a estrutura interna e informações sobre endereços IP associados.
O OFAC, que observa que Triton foi rotulado como “a atividade mais perigosa publicamente conhecida”, anunciou na sexta-feira sanções contra o CNIIHM, ou TsNIIKhM (o Centro de Pesquisa Do Estado da Federação Russa FGUP Central Scientific Research Institute of Chemistry and Mechanics), essencialmente proibindo os americanos de se envolverem com a instituição.
Esta organização de pesquisa controlada pelo governo russo, diz o Departamento do Tesouro, é responsável pelo desenvolvimento de ferramentas personalizadas que possibilitaram o ataque de 2017 contra a instalação petroquímica da Arábia Saudita.
De acordo com a seção 224 da Lei de Combate aos Adversários da América através da Lei de Sanções (CAATSA), o Departamento do Tesouro designou o TTsNIIKhM “por se envolver conscientemente em atividades significativas que prejudicam a segurança cibernética contra qualquer pessoa, incluindo uma instituição democrática ou governo em nome do Governo da Federação Russa”.
O malware Triton, diz o OFAC, foi criado especificamente para atingir sistemas de controle industrial (ICS) que são usados dentro de instalações críticas de infraestrutura para garantir o desligamento imediato em caso de emergência.
Implantado por e-mails de phishing, o malware foi projetado para manipular esses controladores de segurança, fornecendo aos atacantes controle total sobre os sistemas infectados. O malware pode causar “danos físicos significativos e perda de vidas”, disse o governo dos EUA.
Em um comentário enviado por e-mail, Robert M. Lee, CEO e co-fundador da empresa de cibersegurança industrial Dragos, disse: “Uma sanção da OFAC pelo Tesouro dos EUA é significativa e convincente; não só afetará esta instituição de pesquisa na Rússia, mas qualquer pessoa que trabalhe com eles terá sua capacidade de ser bem sucedida no cenário internacional severamente prejudicada.”
“O aspecto mais importante deste desenvolvimento, no entanto, é a atribuição à Rússia pelo ataque trisis pelo USG oficialmente e a chamada explícita dos sistemas de controle industrial na sanção. Este é um momento de definição de normas e a primeira vez que um ataque cibernético do ICS foi sancionado. Isso é totalmente apropriado, pois este ataque cibernético foi o primeiro alvo explícito para a vida humana. Temos sorte de ninguém ter morrido e fico feliz em ver os governos tomarem uma posição forte condenando tais ataques”, continuou.
Nathan Brubaker, gerente sênior de análise da Mandiant Threat Intelligence, comentou: “O malware TRITON foi projetado para desativar os sistemas de segurança que formam uma das últimas linhas de proteção em sistemas industriais. Com o controle desses sistemas de segurança, os hackers poderiam potencialmente permitir que um estado inseguro ocorra ou pior ainda, use seu acesso a outros sistemas de controle para causar um estado inseguro, então permitir que esse estado continue, potencialmente causando condições perigosas e ameaçando a vida humana.
“Felizmente, o TRITON foi descoberto quando os sistemas de segurança reconheceram uma anormalidade durante uma intrusão e encerraram as operações em uma fábrica. Nos meses seguintes, Mandiant foi capaz de rastrear a intrusão ao laboratório russo que está sendo sancionado e expor publicamente seu envolvimento. Esta era uma ferramenta perigosa que pode ter sido usada para causar danos físicos reais. Temos sorte de ter sido encontrado da maneira que foi, dando-nos a chance de investigar os atores nos bastidores.”
FONTE: SECURITY WEEK