De första spåren dök upp under 2017 och hackargruppen fick namnet Triton. När säkerhetsforskare sedan kom över kod så visade det sig vara ett program som slog av säkerhetssystem och med sofistikerade funktioner för att hitta rätt måltavlor.

Tritons program och kod bedömdes vara “världens farligaste kod” av flera säkerhetsexperter i det att koden dessutom slog av skydd som skulle förhindra fysisk tillgång till olika industrisystem. Drabbade kunder anlitade säkerhetsföretaget Fireeye för att försöka hitta de skyldiga och det blev inledningen på en jakt på hackarna. En av de händelser som skulle utredas var då Petro Rabigh, oljeraffinaderi, stängdes ned av mjukvara från Triton. Verksamheten slogs ut i det närmaste av attacken.

The stakes are high. The hackers behind Triton have already dared once to inflict potentially serious damage in a facility, attacking Triconex safety-instrumented systems at the Petro Rabigh refinery that could have potentially led to a lethal, catastrophic, accident. It fortunately only triggered a shutdown of the plant. But any ongoing Triton attack could have similarly weighty consequences.

Wired

Stängdes ned

Attacken med mjukvaran kunde ha slutat med en katastrof med mycket stora skador men dessbättre så stängdes “bara” verksamheten ned. Fireye har hittills hittat spår efter Triton i två fall och då har en serie olika malware-program använts. Flera av dem skräddarsydda för att leta efter viss utrustning. Program som stegvis, långsamt, söker igenom ett drabbat system och som metodisk söker efter svagheter och som också genom att arbeta långsamt är svårt att upptäcka. Bland annat så finns funktioner för att försöka komma över inloggningsuppgifter och konton och på det sättet stegvis ta sig uppåt i ett drabbat och infekterat system.

Ändrat metoder

Det signifikanta med Triton är att de har valt att helt skriva sina egna program och inte använda några av de verktyg som finns att tillgå. ett skäl till det kan vara att försöka att undgå upptäckt. Det finns finns scanners som kan hitta spår av utvecklingsverktyg och verktygsprogram. Genom att helt skriva egen kod så minskar risken för upptäckt. Fireeye har ännu inte lyckats binda mjukvara eller de spår de hittat till några enskilda individer och det är sannolikt att gruppen redan kan ha ändrat sina metoder.

Fireeye

Mackens Fråga: Vad har du för hörlurar?
Share This