De malware die vorig jaar een petrochemische fabriek in Saoedi-Arabië infecteerde had als doel het veroorzaken van een explosie, zo laten meerdere onderzoekers die de aanval onderzoeken tegenover de New York Times weten. De aanval met de Triton-malware kwam vorig jaar december in het nieuws.
De malware bleek in staat te zijn om Triconex Safety Instrumented System (SIS) controllers aan te passen. Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.
De aanvallers wisten toegang tot een SIS-werkstation van de fabriek te krijgen. Vervolgens besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Begin dit jaar gaf Schneider Electric, dat de aangevallen industriële systemen ontwikkelde, al enige details. Nu blijkt dat een fabriek in Saoedi-Arabië het doelwit was.
Hoe de aanvallers toegang wisten te krijgen laten de onderzoekers niet tegenover de New York Times weten. We zou de infectie op een engineering-werkstation zijn begonnen. De aanvallers hadden niet alleen uitgezocht hoe ze toegang tot het industriële systeem moesten krijgen, maar hadden ook voldoende kennis van de layout van de fabriek, zoals waar de leidingen liepen en welke kleppen moesten worden bediend, om een explosie te veroorzaken.
Alle onderzoekers die met de krant spraken, en vanwege het lopende onderzoek anoniem wilden blijven, stellen dat de malware als doel had om een explosie te veroorzaken. Een bug in de malware voorkwam dit echter. Ook in december verklaarde securitybedrijf FireEye, dat het incident onderzoekt, dat de aanvallers een ander doel hadden dan het uitschakelen van industriële processen. Inmiddels zouden de aanvallers hun fout hebben verholpen en zou het slechts een kwestie van tijd zijn voordat ze dezelfde techniek tegen een ander industrieel controle systeem inzetten, zo waarschuwen de onderzoekers.
Het is niet de eerste keer dat Saoedie-Arabië met gerichte aanvallen te maken krijgt. In 2012 werden nog 30.000 computers van de Saoedische oliegigant Saudi Aramco door malware onbruikbaar gemaakt. Eind 2016 en begin 2017 werd het land door een zelfde aanval getroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.