A firma de segurança cibernética FireEye afirma ter descoberto evidências que comprovam o envolvimento de um instituto de pesquisa de propriedade russa no desenvolvimento do malware TRITON que causou a paralisação inesperada de alguns sistemas industriais no ano passado, incluindo uma instalação petroquímica na Arábia Saudita.
O TRITON, também conhecido como Trisis, é uma parte do malware ICS projetado para atingir os controladores do sistema de instrumentos de segurança Triconex (SIS) fabricados pela Schneider Electric e que são usados com frequência em instalações de petróleo e gás.
O Sistema Instrumentado de Segurança Triconex é um sistema de controle autônomo que monitora independentemente o desempenho de sistemas críticos e toma ações imediatas automaticamente se um estado perigoso for detectado.
Como malwares de tais capacidades não podem ser criados por um hacker de computador sem possuir conhecimento necessário dos Sistemas de Controle Industrial (ICS), os pesquisadores acreditam com “alta confiança” que o laboratório de Moscou Central Research Institute of Chemistry and Mechanics (CNIIHM, aka ЦНИИХМ) ajudou os atacantes, apelidados de “TEMP.Veles”, com conhecimento institucional a desenvolver o framework TRITON e testar seus componentes em um ambiente direcionado.
Em um post publicado hoje, a FireEye descobriu várias pistas de atribuição que conectam o desenvolvimento e as atividades de teste do malware Triton ao governo russo, CNIIHM e um ex-professor do CNIIHM.
“Um endereço IP [87.245.143.140] registrado no CNIIHM foi utilizado pelo TEMP.Veles para vários propósitos, incluindo o monitoramento da cobertura de código aberto do TRITON, reconhecimento de rede e atividades maliciosas em apoio à intrusão do TRITON”, escreveu FireEye ao apontar evidência.
Além disso, os padrões de comportamento observados na atividade do grupo TEMP.Veles também são consistentes com o fuso horário de Moscou, onde está localizado o instituto CNIIHM.
Embora os pesquisadores do CNIIHM possuam experiência em infra-estrutura crítica e desenvolvimento de armas e equipamentos militares, a FireEye não reivindicou ou tem nenhuma evidência se o instituto também estava envolvido na implantação do malware Triton na natureza.
“Existe alguma possibilidade de que um ou mais funcionários do CNIIHM possam ter conduzido a atividade ligando o TEMP.Veles ao CNIIHM sem a aprovação de seu empregador. No entanto, este cenário é altamente improvável”, concluíram os pesquisadores da FireEye.
Nem o governo russo nem o instituto CNIIHM responderam ao relatório da FireEye, embora possamos prever a resposta da Rússia, já que o país negou repetidas vezes tais alegações de firmas privadas de segurança cibernética no passado.
O que preocupa é que os hackers por trás do Triton continuaram sendo uma ameaça ativa à infraestrutura crítica em todo o mundo, já que o malware tem a capacidade de causar danos graves e potencialmente fatais a uma organização ou encerrar suas operações.
Fonte: The Hacker News
