0
0
O setor global de energia precisa ficar alerta para o malware Triton, disse o Federal Bureau of Investigation em um aviso recente.
Triton (também conhecido como Trisis e HatMan) foi projetado para “fazer com que os sistemas de segurança física deixem de operar ou operem de forma insegura”, diz o FBI em sua Notificação da Indústria Privada (PIN 20220324-001). O malware foi usado em um ataque cibernético em 2017 contra uma instalação petroquímica do Oriente Médio. Acredita-se que o Instituto Central de Pesquisa Científica da Rússia de Química e Mecânica (TsNIIkhM), uma instituição de pesquisa apoiada pelo governo russo, tenha realizado o ataque, e na semana passada o Departamento de Justiça dos Estados Unidos deslacrar uma acusação contra um cidadão russo e um funcionário da TsNIIkhM envolvidos nesse ataque.
No ataque de 2017, Triton teve como alvo um sistema de segurança Da Schneider Electric Triconex (SIS), que inicia procedimentos de desligamento seguro em situações de emergência. O invasor obteve acesso inicial e, em seguida, moveu-se lateralmente através das redes de TI e OT para entrar no sistema de segurança. O firmware de memória modificado por malware para controladores de segurança Triconex Tricon. Em uma situação em que o sistema iniciaria procedimentos de desligamento seguro, o fato de que os controladores foram modificados poderia potencialmente resultar em danos à instalação, tempo de inatividade do sistema e até perda de vidas, diz o FBI.
Acredita-se que a TsNIIkhM ainda esteja conduzindo atividades contra o setor energético global, diz o FBI. “Com base na estrutura de ataque e malware usado no incidente original de Tritão, um ataque semelhante poderia ser projetado contra outros SIS”, diz o FBI.
Enquanto a Schneider Electric corrigiu a falha no controlador Tricon, versões mais antigas ainda estão em uso e permanecem vulneráveis. Proprietários e operadores de ativos de infraestrutura críticos potencialmente afetados devem avaliar e monitorar regularmente seus sistemas SIS, observar o pessoal com acesso a esses sistemas e praticar planos de contingência, de acordo com o aviso do FBI. O PIN descreve outras recomendações, incluindo o uso de um gateway unidirecional para aplicativos que precisam receber dados do SIS; implementação de procedimentos de gerenciamento de mudanças para posições-chave de estado de controle de segurança; implantação de sistemas de segurança em redes isoladas; e verificação de registros de aparelhos de rede, servidores web e ferramentas de terceiros para sinais de atividade de reconhecimento em estágio inicial.
FONTE: DARK READING