A hét elején rendezték Miami-ban az év hagyományosan első ICS biztonsági rendezvényét, az S4x-et. Az idei konferencia egyik legnagyobb visszhangot kapott előadása a Triton/Trisis néven ismertté vált, Schneider Electric Triconex safety rendszereket célzó malware és a szaúdi incidens részletesebb elemzésével foglalkozó előadás volt.

Az előadás szerint a korábban publikált információkkal szemben nem kettő, hanem 6 rendszert érintett az incidens és a vizsgálatban résztvevő kutatók szerint az incidens előtt két hónappal lett volna lehetőség a malware felfedezésére és a támadás megállítására. Állításuk szerint az első esetet a gyártó nem kezelte kibertámadásként és így nem is tették meg azokat az intézkedéseket, amik lehetővé tették volna a malware teljes eltávolítását a megtámadott rendszerekből, ez csak két hónappal később, 2017 augusztusában történt meg.

Az incidens több szempontból is úttörőnek számít, ez az első dokumentált eset, amikor a támadók kifejezetten a safety rendszereket célozták és legalábbis szokatlannak számít az is, ahogy a gyártó Schneider Electric publikussá tette a támadás nyomán indított vizsgálata során feltárt részleteket - ilyet eddig ICS/SCADA gyártótól még nem láttunk, de nagyon hasznos információforrás lehet nem csak az érintett safety rendszereket használó többi Schneider Electric ügyfélnek, hanem általában az ICS biztonsággal foglalkozó szakembereknek. Ritka az is, hogy az előadásban elhangzottakra (ti. hogy a gyártó az első, júniusi safety kontroller leállásnál nem ismerte fel, hogy kibertámadás okozta az eszköz leállását) a Schneider Electric viszonylag gyorsan reagált és rámutatott, miért nem volt lehetőségük ennél az esetnél felismerni, hogy malware-támadás áll az eset hátterében.

Az előadásról további részleteket a DarkReading illetve a CyberScoop cikkeiben lehet olvasni.