I cosiddetti malware ICS (Industrial Control System) sono poco diffusi, in quanto il loro sviluppo richiede conoscenze tecniche avanzate, ma sono quelli che causano i danni maggiori e qualche volta anche vittime umane. Questo era probabilmente l’obiettivo di Triton, scoperto da FireEye nel sistema di controllo industriale di un’azienda del Medio Oriente (il nome è sconosciuto). La frequenza di simili attacchi informatici potrebbe aumentare nei prossimi anni.
Il target di Triton erano i controller Triconex Safety Instrumented System (SIS), prodotti da Schneider Electric, che vengono utilizzati per monitorare i sistemi critici ed eseguire eventuali azioni di emergenza (ad esempio, lo spegnimento dell’impianto) al verificarsi di determinate condizioni, come un eccessivo incremento della temperatura e della pressione. Nel caso rilevato da FireEye, alcuni controller sono entrati nello stato failsafe, avviando lo spegnimento del processo industriale, in quanto il codice dell’applicazione eseguito sulle unità ridondanti ha fallito un controllo di validazione.
I cybercriminali hanno quindi commesso un errore non intenzionale. Il vero scopo era manomettere il sistema di sicurezza per evitare il suo intervento. FireEye ha infatti rilevato numerosi tentativi di intrusione attraverso workstation Windows usate per la configurazione, la manutenzione e la diagnostica del sistema di controllo industriale. Triton era nascosto nel software dei controller Triconex e doveva probabilmente disattivare tutte le misure di sicurezza.
Considerati il target, i numerosi tentativi e le risorse tecniche necessarie per creare il malware, FireEye ritiene che Triton sia stato sviluppato da cybercriminali pagati da qualche governo. La software house non si sbilancia sui nomi, ma sottolinea che simili attacchi sono stati effettuati in passato da cinque paesi: Stati Uniti, Russia, Iran, Corea del Nord e Israele. Stati Uniti e Israele sono stati ritenuti gli “sponsor” del famigerato Stuxnet.