FireEye: Rus Araştırma Laboratuvarı, TRITON Malware’in Geliştirilmesine Destek Sağlıyor

FireEye, bir Rus araştırma laboratuvarının, TRITON Malware (Endüstriyel bir malware) ’in geliştirilmesine dahil olduğuna dair kanıtlar olduğunu ileri sürüyor. Bu Malware geçen yıl Suudi Arabistan’da petrokimya tesisi gibi bazı endüstriyel tesislerin beklenmedik şekilde kapanmasına sebep olmuştu.

TRITON (diğer adıyla Trisis), Triconex Safety Instrumented System (SIS)’i hedefleyen bir Industrial Control Systems (ICS) Malware’i. SIS sistemi ise bağımsız olarak kritik sistemlerin performansını görüntüleyen ve tehlikeli bir durum tespit ettiğinde otomatik olarak gerekli önlemleri sağlayan bir kontrol sistemi. Schneider Electric tarafından kontrolleri yapılmış olan SIS sistemi çoğunlukla yağ ve gaz fabrikalarında kullanılıyor.

Industrial Control Systems (ICS) hakkında yeterli bilgilere sahip olmayan sıradan bir hacker’ın bu kapasitede bir Malware’i yapamayacağı bilindiği için, araştırmacılar Moskova’da bulunan Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) laboratuvarının saldıranlara yardım ettiğine inandıklarını ve hedeflenen alanda TRITON yazılımının testlerini sağladığını öne sürüyor.

FireEye bir blog yazısında, Rusya’nın CNIIHM laboratuvarında çalışan eski bir profesörün TRITON Malware’in geliştirilmesindeki testlerde katkısının olduğuna dair ipuçları bulunduğundan bahsediyor.

Bu yazıya göre;

87.245.143.140 IP Numaralı CNIIHM’ye bağlı bir bilgisayar, TEMP.Veles dosyasını birçok kez farklı sebeplerden dolayı çalıştırdı, TRITON’un açık kaynak kodunu görüntüledi, ağ tanımlamasını yaptı ve TRITON’u destekleyici birçok kötü niyetli işlem gerçekleştirdi. Dahası, TEMP.Veles’in Moskova’nın zaman dilimine göre uyumlu aktiviteler gösterdiği de gözlemlendi.

CNIIHM araştırmacılarının kritik altyapı tesisleri, silah ve askeri ekipman yapımında elle tutulur bir tecrübeye sahip olmasına rağmen, FireEye, TRITON’un dış dünyaya sürülmesinde laboratuvarın pay sahibi olduğuna dair herhangi bir şey öne sürmüyor.

FireEye:

CNIIHM çalışanlarının, iş verenlerinin onayı olmadan TEMP.Veles dosyasının yayılımında paylarının olduğuna dair ihtimaller var. Buna rağmen, bu senaryo imkansıza yakın.

CNIIHM laboratuvarı ya da Rusya devleti FireEye’ın bu iddialarına cevap vermedi. Ancak Rusya’nın geçmişte özel siber güvenlik firmalarının bu tarz iddialara maruz kaldıklarında sürekli olarak reddetmiş olmaları akıllarda soru işareti bırakıyor.

TRITON’un hala aktif olması, dünyadaki kritik altyapı tesislerini hedeflemesi ve hedeflediği firmaları yok edebilecek gücü olması ise endişelendirici bir gerçek.

Kaynak: https://thehackernews.com/2018/10/russia-triton-ics-malware.html