December 14-én egymással párhuzamosan a FireEye és a Dragos, Inc. is publikált egy-egy elemzést az általuk Triton (FireEye) illetve Trisis (Dragos) névre keresztelt, kifejezetten ipari rendszerek ellen tervezett és fejlesztett malware-ről.
Az elemzések alapján a Triton/Trisis malware-t a Schneider Electric által gyártott Triconex SIS-re (Safety Instrumented System) fókuszálva írták. Mindkét biztonsági cég publikációja szerint a malware-t eddig egyetlen helyen azonosították, egy Közel-keleti ipari szereplőnél, ahol a támadás által érintett SIS vezérlők egy ún. "fail-safe" leállást (ilyen esetekben az SIS rendszer a fizikai folyamatok teljes leállítását hajtják végre annak érdekében, hogy megelőzzék egy nem biztonságos állapot kialakulását) hajtott végre, amikor az alkalmazás redundáns komponenseinek egyikében hibára futott a programkód ellenőrzése.
Az érintett Triconex SIS rendszert számos iparágban használják, tekintve azonban, hogy minden SIS rendszer különböző és a folyamatvezérlésre gyakorolt hatásuk megértéséhez az adott folyamat mélyreható ismerete szükséges, a szakértők nem számítanak arra, hogy a Triton/Trisis szélesebb körben is felbukkanna - akár csak más, Triconex-et használó szervezeteknél sem. A célzott támadás elméletét erősíti az is, hogy a FireEye elemzése szerint az SIS kompromittálása után nem sokkal a támadók fel is töltötték a Triton/Trisis malware-t a rendszerbe. Ez a FireEye munkatársai szerint arra enged következtetni, hogy már elő volt készítve a malware, aminek a megírásához hosszabb időre és nem mindenki számára hozzáférhető eszközökre is szükségük lehetett.
Az incidens esetén a célba vett szervezet az elemzések szerint legalább két, ICS biztonsági legjobb gyakorlatot is figyelmen kívül hagyott, az SIS rendszer össze volt kapcsolva a folyamatirányító hálózattal és a Triconex SIS "Run" mód helyett "Program" módban működött (a Triconex "Run" módban nem engedélyezi a programban változtatások végrehajtását, "Program" módban azonban lehetőség van erre, ezért volt lehetősége a Triton/Trisis malware-nek érdemi változtatásokat végrehajtani az SIS rendszerben). Bár az ICS biztonsági legjobb gyakorlatok betartása sem jelent 100%-os védelmet egy hasonló támadás esetén, mégis jelentősen megnehezíthetik a támadók dolgát és könnyebbé tehetik a megtámadott szervezet számára a támadás minél előbbi felfedezését.
Bár maga a Triton/Trisis malware nem alkalmas arra, hogy nagyobb volumenű támadásokhoz használják fel, most, hogy a malware részletei nyilvánosságra kerültek, várható, hogy más támadói csoportok is célba fognak venni különböző SIS rendszereket (mint ahogy a Stuxnet nyilvánosságra kerülése után is elszaporodtak az ICS rendszerek elleni támadási kísérletek).
Meg kell jegyezni, hogy egy SIS rendszer kompromittálása önmagában még nem jelenti azt, hogy az adott folyamatirányító rendszer biztonsági (safety) funkciói is sérülnének. A folyamatirányító rendszerek biztonsági funkcióinak tervezése számos egyedi képesség meglétét és szabványok betartását igényli annak érdekében, hogy az adott folyamat biztonsági szintje megfeleljen az elvárásoknak. Mindaddig, amíg (egy akár IT biztonsági szempontból kompromittált) SIS rendszer a tervezésének megfelelően látja el a biztonsági (safety) funkcióit és szükség esetén (mint ahogy a mostani publikációkban leírt esetben is történt) képes fail-safe állapotban megállítani a fizikai folyamatokat, egy ilyen incidens nem jelent veszélyt az emberéletre vagy a környezetre.
További részleteket a Triton/Trisis malware-ről a FireEye és a Dragos, Inc. publikációiban lehet olvasni.
