Az elmúlt héten több cikk is megjelent, amik a tavaly év végén napvilágra került Triton/TriSIS malware-támadással kapcsolatos új információkat és elméleteket taglalják.

A Schneider Electric (akiknek a Triconex nevű SIS rendszerét érte támadás egy továbbra is névtelenség mögé bújó Közel-keleti, egyre biztosabb feltételezések szerint szaúdi olajipari cég telephelyén), a Symantec és a Madiant mellett számos amerikai kormányzati szerv (az NSA, az FBI, a DHS és a DARPA) is vizsgálatokat folytatott az incidens kapcsán.

Jelenleg az elméletek szerint a támadók célja nem csupán az olajipari létesítmény működésének megzavarása volt, hanem egyenesen robbanást akartak előidézni a biztonsági (safety) rendszer kompromittálásával.

Az incidens utáni nyomozás során a vizsgálatot végző szakértők egy különös fájlt talált az SIS rendszer egyik mérnöki munkaállomásán, ami minden szempontból egy legitim Schneider Electric szoftverkomponensnek látszott, azonban arra szolgált, hogy szabotálni lehessen a Triconex rendszer működését. A vizsgálatot végzők arról nem nyilatkoznak, hogy ez a fájl hogyan került a rendszerbe, de azt tudni lehet, hogy nem hiszik, hogy belső ember helyezte volna el a mérnöki munkaállomáson, vagyis ez volt az első eset, hogy egy SIS rendszert távolról szabotáltak.

Komolyabb (robbanással járó) incidens azért nem lett a támadásból, mert a támadók hibáztak a malware kódjának írásakor, de az incidenst vizsgáló szakértők biztosak abban, hogy ezt a hibát mostanra javították - ez már csak azért is nagyon aggasztó feltételezés, mert az érintett Schneider Electric Triconex rendszerből világszerte több, mint 13.000 darab működik.

További részleteket az alábbi cikkekben lehet olvasni:
https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html
https://www.techspot.com/news/73730-saudi-arabian-petroleum-plant-hit-malware-tried-cause.html