De skrev världens farligaste kod

av Mikael Winterkvist | apr 11, 2019 | Säkerhet

De första spåren dök upp under 2017 och hackargruppen fick namnet Triton. När säkerhetsforskare sedan kom över kod så visade det sig vara ett program som slog av säkerhetssystem och med sofistikerade funktioner för att hitta rätt måltavlor.

Tritons program och kod bedömdes vara “världens farligaste kod” av flera säkerhetsexperter i det att koden dessutom slog av skydd som skulle förhindra fysisk tillgång till olika industrisystem. Drabbade kunder anlitade säkerhetsföretaget Fireeye för att försöka hitta de skyldiga och det blev inledningen på en jakt på hackarna. En av de händelser som skulle utredas var då Petro Rabigh, oljeraffinaderi, stängdes ned av mjukvara från Triton. Verksamheten slogs ut i det närmaste av attacken.

The stakes are high. The hackers behind Triton have already dared once to inflict potentially serious damage in a facility, attacking Triconex safety-instrumented systems at the Petro Rabigh refinery that could have potentially led to a lethal, catastrophic, accident. It fortunately only triggered a shutdown of the plant. But any ongoing Triton attack could have similarly weighty consequences.

Wired

Stängdes ned

Attacken med mjukvaran kunde ha slutat med en katastrof med mycket stora skador men dessbättre så stängdes “bara” verksamheten ned. Fireye har hittills hittat spår efter Triton i två fall och då har en serie olika malware-program använts. Flera av dem skräddarsydda för att leta efter viss utrustning. Program som stegvis, långsamt, söker igenom ett drabbat system och som metodisk söker efter svagheter och som också genom att arbeta långsamt är svårt att upptäcka. Bland annat så finns funktioner för att försöka komma över inloggningsuppgifter och konton och på det sättet stegvis ta sig uppåt i ett drabbat och infekterat system.

Ändrat metoder

Det signifikanta med Triton är att de har valt att helt skriva sina egna program och inte använda några av de verktyg som finns att tillgå. ett skäl till det kan vara att försöka att undgå upptäckt. Det finns finns scanners som kan hitta spår av utvecklingsverktyg och verktygsprogram. Genom att helt skriva egen kod så minskar risken för upptäckt. Fireeye har ännu inte lyckats binda mjukvara eller de spår de hittat till några enskilda individer och det är sannolikt att gruppen redan kan ha ändrat sina metoder.

Fireeye

0 kommentarer

Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________