L'allarme

Sistemi industriali, torna la minaccia “Triton” sulle infrastrutture critiche

A rilevare l’offensiva è l’intelligence-led company FireEye: grazie alla manipolazione dei sistemi di sicurezza di un impianto i criminali informatici sono riusciti ad arrestare la produzione. Gabriele Zanoni: “Malware ancora avvolto nel mistero”

Pubblicato il 15 Apr 2019

ibm-sicurezza

Il malware Triton continua a mietere vittime: dopo un primo attacco a un’infrastruttura critica emerso nel 2017, la intelligence-led security company FireEye ha individuato un’altra offensiva lanciata dallo stesso autore. Dalle più recenti indagini di FirEye merge che dietro a queste offensive ci sia un istituto di ricerca tecnica con sede a Mosca.

“Le specificità dell’intrusione del malware Triton sono ancora avvolte nel mistero – afferma Gabriele Zanoni, senior systems engineer – Del framework e dell’impatto sul sito di destinazione se ne è parlato molto, ma sono state condivise poche o addirittura nessuna informazione sulle tattiche, le tecniche e le procedure relative al ciclo di vita dell’intrusione. Non si hanno, inoltre, dati su che aiutino a comprendere come l’attacco sia potuto arrivare così in profondità, per poi colpire i processi industriali”.

Il team di incident responder di Mandiant, società di FireEye – si legge in una nota dell’azienda – ha scoperto recentemente ulteriori attività di attacco in un’altra infrastruttura critica, sempre da parte di chi ha progettato Triton identificando, inoltre, altri tool sviluppati ad-hoc.

Sulla base delle analisi dei tool di attacco sviluppati ad-hoc, è stato possibile dedurre che il gruppo che ha sviluppato Triton è operativo dal 2014. Prima di questa data, la società non aveva mai avuto modo di rilevare nessuno di questi tool utilizzati per Triton, nonostante molti di questi risalgano a diversi anni prima rispetto alla prima compromissione.

“C’è un focus particolare da parte della community della sicurezza riguardo ai malware relativi ai sistemi Ics, in quanto sono un vettore di attacco nuovo e ci sono ancora pochi casi – conclude Zanoni – E’ importante che ci sia questa attenzione per diverse ragioni, per chi deve difendere dei sistemi informatici o per chi deve rispondere agli incidenti suggeriamo di prestare attenzione ai sistemi denominati di “conduit”, i passaggi tra le diverse zone delle reti, per poter identificare e bloccare gli attacchi verso i sistemi Ics”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5