В отчете, составленном экспертами FireEye, указано, что хакеры вмешались в работу объекта критической инфраструктуры. Используя специальную утилиту собственной разработки, кибергруппировка, вероятно, финансируемая властями одной из стран, пыталась перепрограммировать систему для мониторинга промышленных систем управления (ICS), спровоцировав неполадки в ее работе.
Эксперты не называют пострадавшее предприятие и его местоположение. Но в уведомлении от Symantec говорится, что был атакован объект в одной из стран Ближнего Востока (возможно, в Саудовской Аравии).
Злоумышленники пользовались вредоносной программой для того, чтобы манипулировать системами, которые позволяют внезапно завершать производственные процессы на предприятии. Утилита носит название TRITON, которая предназначается для вмешательства в работу системы Triconex Safety Instrumented System (SIS) производства Schneider Electric. Инструмент замаскирован под легитимное приложение, которое применяется для проверки логов.
В отчете FireEye утверждается, что хакеры заполучили доступ к рабочей станции Triconex SIS, которая функционирует под управлением Windows, и установили вредоносную программу TRITON для перепрограммирования памяти приложений на контроллерах SIS. При перепрограммировании часть контроллеров SIS неудачно перешла в безопасный режим, что вызвало автоматическое завершение промышленных процессов.
Вероятно, хакеры не стремились к завершению работы процессов, которое проиcходит случайно. Злоумышленники хотели найти способ нанесения физический ущерба оборудованию через перепрограммирование контроллеров SIS.
В уведомлении Symantec сказано, что TRITON атакует предприятия по крайней мере с сентября этого года. Утилита инфицирует системы под управлением Windows, а далее добавляет код, вносящие изменения в прошивку устройств SIS.
