Контакты
Подписка
МЕНЮ
Контакты
Подписка

FireEye связала активность Triton с российской исследовательской лабораторией

FireEye связала активность Triton с российской исследовательской лабораторией

FireEye связала активность Triton с российской исследовательской лабораторией


24.10.2018



Российская исследовательская лаборатория якобы причастна к кибератакам с использованием вредоносного ПО Triton (Trisis) на критическую инфраструктуру, включая атаку на принадлежащий компании Tasnee нефтехимический завод в Саудовской Аравии. Соответствующий вывод содержится в отчете, опубликованном компанией FireEye.

 Согласно данным технического анализа, ранее произведенного специалистами FireEye, Dragos и Symantec, вредоносное ПО Triton предназначено специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способно вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.

 По словам экспертов FireEye, собранная информация позволяет с "высокой точностью предположить", что активность по внедрению в компьютерные системы, в ходе которой был применен Triton, якобы "поддерживалась Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ)", расположенным в Москве.

 В FireEye полагают, что Triton тестировала некая хакерская группа TEMP.Veles, связанная с РФ. По версии компании, к данному вредоносному коду якобы причастен некий профессор, работающий в ЦНИИХМ, чье имя не раскрывается.

 Доклад FireEye не связывает ЦНИИХМ непосредственно с вредоносным ПО Triton, а с второстепенными модулями, используемыми TEMP.Veles. На связь, по мнению специалистов, указывают несколько фактов, в частности, IP-адрес 87.245.143.140, якобы принадлежащий лаборатории; многочисленные относящиеся к Triton файлы содержат названия и артефакты на кириллице; время создания вредоносных файлов совпадает с часовым поясом Москвы.

 Эксперты не исключили вероятность, что один или несколько сотрудников ЦНИИХМ осуществляли деятельность, связанную с TEMP.Veles, без ведома руководства.

 

Securitylab