A firma de seguran\u00e7a cibern\u00e9tica FireEye afirma ter descoberto evid\u00eancias que comprovam o envolvimento de um instituto de pesquisa de propriedade russa no desenvolvimento do malware TRITON que causou a paralisa\u00e7\u00e3o inesperada de alguns sistemas industriais no ano passado, incluindo uma instala\u00e7\u00e3o petroqu\u00edmica na Ar\u00e1bia Saudita.<\/p>\n
O TRITON, tamb\u00e9m conhecido como Trisis, \u00e9 uma parte do malware ICS projetado para atingir os controladores do sistema de instrumentos de seguran\u00e7a Triconex (SIS) fabricados pela Schneider Electric e que s\u00e3o usados \u200b\u200bcom frequ\u00eancia em instala\u00e7\u00f5es de petr\u00f3leo e g\u00e1s.<\/p>\n
O Sistema Instrumentado de Seguran\u00e7a Triconex \u00e9 um sistema de controle aut\u00f4nomo que monitora independentemente o desempenho de sistemas cr\u00edticos e toma a\u00e7\u00f5es imediatas automaticamente se um estado perigoso for detectado.<\/p>\n
Como malwares de tais capacidades n\u00e3o podem ser criados por um hacker de computador sem possuir conhecimento necess\u00e1rio dos Sistemas de Controle Industrial (ICS), os pesquisadores acreditam com “alta confian\u00e7a” que o laborat\u00f3rio de Moscou Central Research Institute of Chemistry and Mechanics (CNIIHM, aka \u0426\u041d\u0418\u0418\u0425\u041c) ajudou os atacantes, apelidados de “TEMP.Veles”, com conhecimento institucional a desenvolver o framework TRITON e testar seus componentes em um ambiente direcionado.<\/p>\n
Em um post publicado hoje, a FireEye descobriu v\u00e1rias pistas de atribui\u00e7\u00e3o que conectam o desenvolvimento e as atividades de teste do malware Triton ao governo russo, CNIIHM e um ex-professor do CNIIHM.<\/p>\n
“Um endere\u00e7o IP [87.245.143.140] registrado no CNIIHM foi utilizado pelo TEMP.Veles para v\u00e1rios prop\u00f3sitos, incluindo o monitoramento da cobertura de c\u00f3digo aberto do TRITON, reconhecimento de rede e atividades maliciosas em apoio \u00e0 intrus\u00e3o do TRITON”, escreveu FireEye ao apontar evid\u00eancia.<\/p>\n
Al\u00e9m disso, os padr\u00f5es de comportamento observados na atividade do grupo TEMP.Veles tamb\u00e9m s\u00e3o consistentes com o fuso hor\u00e1rio de Moscou, onde est\u00e1 localizado o instituto CNIIHM.<\/p>\n
Embora os pesquisadores do CNIIHM possuam experi\u00eancia em infra-estrutura cr\u00edtica e desenvolvimento de armas e equipamentos militares, a FireEye n\u00e3o reivindicou ou tem nenhuma evid\u00eancia se o instituto tamb\u00e9m estava envolvido na implanta\u00e7\u00e3o do malware Triton na natureza.<\/p>\n
“Existe alguma possibilidade de que um ou mais funcion\u00e1rios do CNIIHM possam ter conduzido a atividade ligando o TEMP.Veles ao CNIIHM sem a aprova\u00e7\u00e3o de seu empregador. No entanto, este cen\u00e1rio \u00e9 altamente improv\u00e1vel”, conclu\u00edram os pesquisadores da FireEye.<\/p>\n
Nem o governo russo nem o instituto CNIIHM responderam ao relat\u00f3rio da FireEye, embora possamos prever a resposta da R\u00fassia, j\u00e1 que o pa\u00eds negou repetidas vezes tais alega\u00e7\u00f5es de firmas privadas de seguran\u00e7a cibern\u00e9tica no passado.<\/p>\n
O que preocupa \u00e9 que os hackers por tr\u00e1s do Triton continuaram sendo uma amea\u00e7a ativa \u00e0 infraestrutura cr\u00edtica em todo o mundo, j\u00e1 que o malware tem a capacidade de causar danos graves e potencialmente fatais a uma organiza\u00e7\u00e3o ou encerrar suas opera\u00e7\u00f5es.<\/p>\n