Il malware Triton continua a mietere vittime: dopo un primo attacco a un’infrastruttura critica emerso nel 2017, la intelligence-led security company FireEye ha individuato un’altra offensiva lanciata dallo stesso autore. Dalle più recenti indagini di FirEye merge che dietro a queste offensive ci sia un istituto di ricerca tecnica con sede a Mosca.
“Le specificità dell’intrusione del malware Triton sono ancora avvolte nel mistero – afferma Gabriele Zanoni, senior systems engineer – Del framework e dell’impatto sul sito di destinazione se ne è parlato molto, ma sono state condivise poche o addirittura nessuna informazione sulle tattiche, le tecniche e le procedure relative al ciclo di vita dell’intrusione. Non si hanno, inoltre, dati su che aiutino a comprendere come l’attacco sia potuto arrivare così in profondità, per poi colpire i processi industriali”.
Il team di incident responder di Mandiant, società di FireEye – si legge in una nota dell’azienda – ha scoperto recentemente ulteriori attività di attacco in un’altra infrastruttura critica, sempre da parte di chi ha progettato Triton identificando, inoltre, altri tool sviluppati ad-hoc.
Sulla base delle analisi dei tool di attacco sviluppati ad-hoc, è stato possibile dedurre che il gruppo che ha sviluppato Triton è operativo dal 2014. Prima di questa data, la società non aveva mai avuto modo di rilevare nessuno di questi tool utilizzati per Triton, nonostante molti di questi risalgano a diversi anni prima rispetto alla prima compromissione.
“C’è un focus particolare da parte della community della sicurezza riguardo ai malware relativi ai sistemi Ics, in quanto sono un vettore di attacco nuovo e ci sono ancora pochi casi – conclude Zanoni – E’ importante che ci sia questa attenzione per diverse ragioni, per chi deve difendere dei sistemi informatici o per chi deve rispondere agli incidenti suggeriamo di prestare attenzione ai sistemi denominati di “conduit”, i passaggi tra le diverse zone delle reti, per poter identificare e bloccare gli attacchi verso i sistemi Ics”.
@RIPRODUZIONE RISERVATA
