Triton

Par GoldSparrow en Trojans

Le logiciel malveillant Triton est un cheval de Troie avec des capacités avancées, qui a été signalé officiellement le 14 décembre 2017. Cependant, l'activité du cheval de Troie a été enregistrée en août 2017, mais les chercheurs en matière de sécurité informatique essayaient de retracer les commandes envoyées à Triton et de lancer des contre-mesures. Le malware Triton est également connu sous le nom de Trisis, et il semble être un produit du groupe APT (Advanced Persistent Threat), mais il y a peu de preuves pour pointer vers une unité au moment de l'écriture. Le cheval de Troie Triton (alias Trisis) est utilisé dans des attaques sur le système de sécurité Triconex de Schneider Electric, et il est observé qu'il modifie les fonctions des modules de contrôle.

Un poste de travail vulnérable utilisé comme cheval de Troie pour le logiciel malveillant Triton

Les opérateurs de menace sont enregistrés pour compromettre un poste de travail et injecter leur code dans les instruments de sécurité en cours d'exécution. La charge est rapportée comme étant un exécutable Python, qui contient des bibliothèques Python, un code source ouvert et un framework sur mesure permettant à Triton d'interagir avec les systèmes de sécurité Triconex (Schneider Electric). Le logiciel malveillant a réussi à modifier les fonctions intégrales qui régissaient les procédures d'arrêt d'urgence pour les processus industriels. Les experts en sécurité informatique classent le cheval de Troie Triton comme une menace de premier plan pouvant être utilisée pour causer des dommages sévères aux chaînes d'approvisionnement industrielles et aux installations de production, ce qui peut entraîner des incidents importants et des pertes humaines potentielles en raison de la nature des systèmes de contrôle ciblés. Le malware Triton peut être utilisé pour le sabotage industriel, il peut même permettre à des tiers de collecter des secrets de production internes.

Qui est à blâmer pour les attaques Triton/Trisis?

Les principaux chercheurs de la communauté de cybersécurité ne sont pas sûrs qui se cache derrière Triton, mais il est évident que les auteurs de la menace ont une connaissance intime de l'infrastructure de Schneider Electric. Il n'est pas impossible que le cheval de Troie Triton soit le produit d'une équipe de développeurs de menaces parrainée par l'État, compte tenu de l'échelle mondiale à laquelle le logiciel malveillant peut être appliqué. Il est recommandé d'appliquer une politique d'accès stricte concernant les postes de travail ayant un contrôle direct sur les mécanismes de sécurité. De plus, tous les processus en cours d'exécution devraient être surveillés de près. Les rapports d'incidents rapides permettent aux entreprises d'atténuer les risques de défaillances de la production et les pertes humaines potentielles. Les entreprises antivirus détectent des objets liés à Triton (dit Trisis) comme:

  • Win32.Trojan.Agent.XEHMEL
  • Trojan.Win32.Python.ewaxyy
  • Trojan.Win32.Z.Agent.21504.BFU
  • Win32.Trojan.Agent.Wpjt

Posts relatifs

Tendance

Le plus regardé

Chargement...