Loading...

membuktikan keterlibatan lembaga penelitian milik Rusia dalam pengembangan malware TRITON




Perusahaan Cybersecurity FireEye mengklaim telah menemukan bukti yang membuktikan keterlibatan lembaga penelitian milik Rusia dalam pengembangan malware TRITON yang menyebabkan beberapa sistem industri secara tidak terduga ditutup tahun lalu, termasuk pabrik petrokimia di Arab Saudi.

TRITON, juga dikenal sebagai Trisis, adalah bagian dari malware ICS yang dirancang untuk menargetkan sistem Triconex Safety Instrumented System (SIS) yang dibuat oleh Schneider Electric yang sering digunakan dalam fasilitas minyak dan gas.

Triconex Safety Instrumented System adalah sistem kontrol otonom yang secara independen memantau kinerja sistem kritis dan mengambil tindakan segera secara otomatis jika keadaan berbahaya terdeteksi.




Karena malware dengan kemampuan seperti itu tidak dapat dibuat oleh peretas komputer tanpa memiliki pengetahuan yang diperlukan tentang Sistem Pengendalian Industri (ICS), para peneliti percaya dengan "kepercayaan diri yang tinggi" bahwa laboratorium Central Scientific Research Institute of Chemistry and Mechanics yang berbasis di Moskow (CNIIHM, alias ЦНИИХМ) membantu penyerang, yang dijuluki "TEMP.Veles," dengan pengetahuan institusional mengembangkan kerangka TRITON dan menguji komponennya dalam lingkungan yang ditargetkan.



Dalam posting blog yang diterbitkan sebelumnya hari ini, FireEye menemukan berbagai petunjuk atribusi yang menghubungkan pengembangan dan menguji aktivitas malware Triton ke pemerintah Rusia, CNIIHM dan mantan profesor di CNIIHM.

"Sebuah alamat IP [87.245.143.140] terdaftar untuk CNIIHM telah digunakan oleh TEMP.Veles untuk berbagai tujuan, termasuk pemantauan cakupan open source dari TRITON, pengintaian jaringan, dan aktivitas jahat untuk mendukung intrusi TRITON," tulis FireEye sambil menunjuk bukti keluar.

Selain itu, pola perilaku yang diamati dalam aktivitas grup TEMP.Veles juga konsisten dengan zona waktu Moskow, di mana lembaga CNIIHM berada.


Meskipun para peneliti CNIIHM memiliki pengalaman dalam infrastruktur penting dan pengembangan senjata dan peralatan militer, FireEye tidak mengklaim atau memiliki bukti apa pun jika institut itu juga terlibat dalam penyebaran malware Triton di alam liar.

"Beberapa kemungkinan tetap ada bahwa satu atau lebih karyawan CNIIHM dapat melakukan kegiatan yang menghubungkan TEMP.Veles ke CNIIHM tanpa persetujuan majikan mereka. Namun, skenario ini sangat tidak mungkin," peneliti FireEye menyimpulkan.

Baik pemerintah Rusia maupun lembaga CNIIHM telah menanggapi laporan FireEye, meskipun kami dapat memprediksi tanggapan Rusia, karena negara itu telah berulang kali membantah tuduhan tersebut dari perusahaan cybersecurity swasta di masa lalu.

Yang mengkhawatirkan adalah peretas di belakang Triton tetap menjadi ancaman aktif terhadap infrastruktur penting di seluruh dunia, karena malware memiliki kemampuan untuk menyebabkan kerusakan parah yang mengancam nyawa bagi organisasi atau menghentikan operasinya.
Loading...

Post a Comment

0 Comments