Het Amerikaanse ministerie van Financiën heeft sancties genomen tegen een Russisch onderzoeksinstituut dat wordt verdacht van de ontwikkeling van de Triton-malware. De malware werd onder andere tegen een Petrochemische fabriek in Saudi-Arabië ingezet.
Aanvallers wisten via de Triton-malware toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation van de fabriek. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld.
Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Securitybedrijf FireEye stelde in 2018 dat het sporen had gevonden die erop wijzen dat de malware is ontwikkeld door het Russische Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM). Dit is een onderzoeksinstituut van de Russische overheid dat zich in Moskou bevindt.
Eén van de aanwijzingen voor betrokkenheid van het CNIIHM is de ontdekking van een omgeving die werd gebruikt om de malware te testen. Vier bestanden waarvan de malware gebruikmaakte werden in 2014 getest en aangepast om de detectie door anti-virussoftware te voorkomen. De laatste versies werden in 2017 getest en een week later bij de aanval tegen de fabriek ingezet. Verder werd in de malware een naam gevonden die naar een onderzoeker wees die ook hoogleraar bij het CNIIHM was.
"De ontwikkeling en het gebruik van de Triton-malware tegen onze partners is met name verontrustend gegeven de betrokkenheid van de Russische overheid bij gevaarlijk cyberactiviteiten", aldus het Amerikaanse ministerie van Financiën, dat als voorbeeld de NotPetya-aanval noemt. Vorig jaar raakt vitale infrastructuur van een niet nader genoemd land besmet met de Triton-malware, aldus FireEye. De aanvallers achter de malware zouden ook naar kwetsbaarheden bij Amerikaanse instellingen zoeken.
Vanwege het opzettelijk ontwikkelen van de malware om namens de Russische overheid de cybersecurity van personen en instellingen te ondermijnen zijn er nu sancties genomen, laat het ministerie weten. Zo worden alle tegoeden van het onderzoeksinstituut die in bezit van Amerikaanse personen zijn of komen bevroren en mogen Amerikaanse personen geen transacties met het instituut uitvoeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.