Allarme degli esperti: “Triton può provocare incidenti devastanti”. Il codice del malware è in circolazione e qualsiasi pirata informatico potrebbe usarlo per provocare incidenti negli impianti industriali.
La possibilità che un malware venga utilizzato per un sabotaggio all’interno di fabbriche o impianti sensibili, come piattaforme petrolifere o centrali energetiche, è ormai qualcosa con cui nel settore della sicurezza informatica si convive da tempo.
Nonostante qualche avvisaglia in questo senso (come nel caso del celebre attacco a una centrale iraniana con Stuxnet) l’ipotesi che il rischio raggiunga livelli da allarme rosso, però, è considerata ancora piuttosto remota.
Dalle parti di Kaspersky però parte una sorta di “allarme arancione” che non può essere trascurato. E il protagonista è Triton, un malware comparso nel dicembre del 2017 che ha preso di mira alcuni impianti in Medioriente.
Come viene spiegato in un report pubblicato sul blog della società di sicurezza, negli ultimi mesi i ricercatori hanno avuto la possibilità di analizzare a fondo Triton, definendo con maggiore precisione le sue caratteristiche e funzionalità. Il quadro che ne esce è tutt’latro che rassicurante.
Già al momento della comparsa del malware, gli analisti si sono resi conto di avere a che fare con qualcosa di estremamente pericoloso. In particolare, Triton prende di mira i sistemi Triconex, molto diffusi a livello industriale.
Anche se è fallito, l’attacco portato con Triton era arrivato a interessare un SIS (Safety Instrumented System), cioè quella che viene considerata l’ultima protezione a livello informatico per evitare incidenti “fisici” all’interno degli impianti.
Per dirlo con maggiore chiarezza: Triton è in grado di provocare malfunzionamenti tali da causare danni estremamente seri, che potrebbero sfociare in esplosioni o altri eventi potenzialmente catastrofici.
L’opera di reverse engineering operata dai ricercatori sul malware, però, ha acceso i riflettori su altri aspetti che rendono Triton ancora più pericoloso.
Prima di tutto gli analisti di Kaspersky spiegano che l’attacco può essere portato con maggiore facilità di quanto si pensasse in origine. In secondo luogo, dopo gli episodi dello scorso inverno, il malware è in circolazione e il suo codice può quindi essere studiato anche da altri.
Nella complessa operazione di analisi di Triton (spiegata dettagliatamente nel report) i ricercatori si sono resi conto anche di un’altra cosa: l’attacco di dicembre è fallito solo per un caso o, più probabilmente, per un errore commesso dall’attaccante.
La parte principale del malware infatti funziona alla perfezione e consente, in pratica, di avviare l’esecuzione di codice direttamente sul dispositivo SIS. In quel caso, a quanto pare, l’esecuzione del payload finale non è andata a buon fine a causa di un errore di programmazione o di un crash di sistema che ha portato a uno “spegnimento di emergenza”.
Insomma, anche se il primo attacco non ha avuto conseguenze, secondo i ricercatori Triton al momento è l’equivalente di un enorme iceberg che vaga per l’oceano aspettando di schiantarsi contro la prima nave che incrocia. E la cosa non è affatto rassicurante…
Lascia un commento