Corpus Solutions

23. 08. 2019

Xenotime skupina, která stojí za dosud nejděsivější kyberbezpečnostní událostí průmyslových řídicích systému nazvanou Trisis, rozšířila své zaměření mimo ropný a plynárenský průmysl. Původní útok Trisis nebo Triton z roku 2017, jehož název je odvozen od bezpečnostních komponent Triconex, způsobil odpojení nejvyšších bezpečnostních mechanismů, které mají za úkol automatickou ochranu před fyzickým poškozením, extrémním nárůstem teploty, tlaku, napětí atd.. Při správné funkci zabrání tyto komponenty výbuchům a ztrátám na majetku i životech. Hackeři však dokázali komponenty přeprogramovat tak, aby vykazovaly, že jsou funkční, ale ignorovaly nebezpečné vstupní hodnoty.

Tento útok se objevil ještě několikrát. Naposledy v dubnu 2019, vždy byl ale identifikován v zařízeních v petrochemickém průmyslu. To se ale může rychle změnit. Odborníci sledovali činnosti skupiny Xenotime. Ta se v poslední době zaměřila na sondování sítí elektrických distribučních organizaci ve Spojených státech. To podle odborníků může znamenat pouze jediné - rozšíření možných cílů nejnebezpečnějších útoků v kritické infrastruktuře.

Činnosti, které právě teď Xenotime provádí, přesně odpovídají úvodní fázi tzv. Cyber Kill Chain (metodika popisující fáze úspěšně provedeného kyberútoku). Tedy sběr co nejvíce informací o zamýšlené oběti. Zda se skutečně objeví Trisis útoky i v energetickém průmyslu ukáže až čas, nicméně vše nasvědčuje tomu, že dříve nebo později útoky přijdou.

Pro provedení útoku typu Trisis je nutné přistoupit až na nejnižší úroveň řízení, tedy na PLC komponenty a ty přeprogramovat. Tato činnost však může byt zaznamenána specializovanými nástroji, které pomocí umělé inteligence detekují a upozorňují na neoprávněné zásahy do sledovaných zařízení.

Tip: všechny aktuality od Corpus Solutions můžete odebírat jako RSS kanál