Специалисты компании FireEye обнаружили новое семейство вредоносных программ Triton (или Trisis), напомнившее экспертам Stuxnet. Triton получил статус редкого вредоноса, действующего преимущественно на Ближнем Востоке. Целью зловреда является отключение промышленных систем безопасности, имеющих отношение к защите жизнедеятельности.

Исследователи пишут, что новая вредоносная программа нацелена на оборудование, выпускаемое Schneider Electric, оно используется в нефтегазовых установках и на ядерных объектах.

В частности, Triton предназначен для внедрения и выведения из строя приборных систем безопасности (SIS) Schneider Triconex.

SIS-компоненты создаются для самостоятельной работы от другого оборудования в объекте и мониторинга потенциально опасных условий, запуска предупреждений, отключений для предотвращения аварий или саботажа.

Закрепившись в системе, хакеры могут использовать Triton для создания ситуации, которая может нанести физический вред, например, взрыв или утечка. Поскольку код Triton содержит строки, способные отключать меры безопасности Triconex, воспрепятствовать его активности не представляется возможным.

Это создает очень опасную ситуацию для критической инфраструктуры.

«Недавно мы отреагировали на инцидент в организации, управляющей критической инфраструктурой, где злоумышленник развернул вредоносную программу, предназначенную для управления промышленными системами безопасности. Можно с уверенностью сказать, что киберпреступник могу свободно нанести физический урон и прерывать выполнение критически важных операций в системе», — говорится в отчете FireEye.

Triton является всего третьим по счету вредоносом, нацеленным на выведение из строя физического оборудования. Первым таким зловредом был Stuxnet.