Malware Triton: Uma nova ameaça para Sistemas de Segurança Industrial

Malware Triton: Uma nova ameaça para Sistemas de Segurança Industrial

Saiba mais sobre o malware Triton, e se você é cliente Symantec fique tranquilo pois você está protegido.

A Symantec está ciente de um novo cavalo de Tróia que visa os sistemas de controle industrial (ICS) e tem o potencial de causar uma ruptura grave em qualquer organização. O malware Triton (Trojan.Trisis), é projetado para se comunicar com um tipo específico de ICS, nomeado sistemas de segurança (SIS) e implantar lógica alternativa para esses dispositivos, o que significa que eles podem não funcionar corretamente. O malware teria sido usado contra pelo menos uma organização no Oriente Médio.

O malware Triton, que existe pelo menos desde agosto de 2017, funciona infectando um computador com Windows que espera-se estar conectado a um dispositivo SIS. O malware então injeta o código modificando o comportamento do dispositivo SIS. No entanto, no momento, o efeito pretendido não está claro e a investigação ainda está em andamento.

O que são os SIS?

Os sistemas preparados para segurança (Safety Instrumented Systems) são um tipo de sistema de controle industrial projetado para monitorar o desempenho de sistemas críticos e tomar medidas corretivas caso uma condição insegura seja detectada. Isso poderia incluir temperaturas excessivamente altas ou leituras de pressão em sistemas industriais. O SIS foi projetado para detectar tais condições e iniciar ações que colocam os sistemas afetados em um estado seguro.

Porque o SIS se tornou um alvo?

Os ataques a dispositivos SIS podem potencialmente causar interrupção em uma organização e, na pior das hipóteses, facilitar a sabotagem. Ao interferir com a operação de um SIS, um invasor pode causar mau funcionamento e desligamento em uma planta. Um pior caso é um ataque em que um SIS funciona errado, não detecta um evento inseguro e, portanto, não consegue evitar um acidente industrial. O último seria mais difícil de realizar, pois o invasor precisaria garantir que uma condição insegura ocorra enquanto o SIS está funcionando incorretamente.

Não é o primeiro ataque a um ICS

Embora tenha havido um pequeno número de casos anteriores de malwares projetados para atacar o ICS, o Triton é o primeiro a atacar os dispositivos SIS. O primeiro e mais notável exemplo de malware ICS foi Stuxnet (W32.Stuxnet), que foi projetado para atacar controladores lógicos programáveis ​​(PLCs) que estão sendo usados ​​no programa iraniano de enriquecimento de urânio.

O grupo de ciberespionagem Dragonfly também foi conhecido por atingir o ICS, e anteriormente comprometeu vários provedores de equipamentos ICS, infectando seu software com o Oldara Trojan (Backdoor.Oldrea) (também conhecido como Havex).

Recentemente, o malware limpa-disco Disakil (Trojan.Disakil), que foi usado em ataques contra o setor de energia ucraniano no final de 2016, continha um componente projetado para atingir os sistemas ICS SCADA (controle de supervisão e aquisição de dados). O malware tentou parar e excluir um serviço usado por software projetado para se comunicar com sistemas SCADA.

É necessário vigiar

O malware Triton parece ser projetado para ser usado de forma altamente direcionada, o que significa que os atacantes podem se concentrar em um alvo específico ou um pequeno número de alvos. No entanto, os usuários de dispositivos SIS são aconselhados a revisar a segurança operacional e seguir as melhores práticas do fabricante, como garantir que os sistemas de segurança sejam implantados em redes isoladas e que nenhuma pessoa não autorizada tenha acesso a dispositivos SIS.

A Symantec, grande fabricante do mercado de segurança cibernética, continua a investigar essa ameaça.

Como se proteger?

Além das boas práticas que o fabricante dos dispositivos passa aos usuários, é sempre bom reforçar a segurança. A Symantec possui em seu antivírus uma política para impedir que esse malware se torne um problema.

Para saber mais sobre essa solução, sugerimos que acesse essa página onde falamos sobre o Symantec Endpoint Protection 14 (SEP14) que contém o antivírus Symantec para proteção contra o Malware Triton, além de vários outras soluções de segurança para tornar sua empresa e seus dados mais seguros. Clique aqui.

Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do blog@triplait.com.

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

 

 

Esse artigo foi traduzido do blog da própria Symantec. Para ler o artigo em inglês basta clicar aqui.

 

 

Powered by WP Review

About the Author

Hugo Bär
Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação