Peneliti keamanan telah menemukan
malware berbahaya yang dirancang khusus untuk menargetkan industrial control systems (ICS) yang berpotensi menyebabkan kecelakaan. Malware tersebut dijuluki Triton, yang juga dikenal sebagai Trisis, perangkat lunak ICS yang telah dirancang untuk menargetkan pengendali
Triconex Safety Instrumented System (SIS) yang dibuat oleh
Schneider Electric - sebuah sistem kontrol otonom yang secara independen memantau kinerja sistem dan segera melakukan tindakan secara otomatis.
Peneleliti keamanan dari divisi keamanan perusahaan
FireEye menerbitkan sebuah laporan, menunjukkan penyerang telah memodifikasi malware Triton untuk menyebabkan kerusakan fisik pada sebuah organisasi.
Menurut penelitian terpisah yang dilakukan oleh ICS cybersecurity firm
Dragos, yang menyebut malware "TRISIS," diluncurkan terhadap sebuah organisasi industri di Timur Tengah. Triton memanfaatkan TriStation protocol, yang merupakan alat teknik dan perawatan yang digunakan oleh produk Triconex SIS dan tidak didokumentasikan secara terbuka.
"
Penyerang mendapatkan akses jarak jauh ke sebuah SIS engineering workstation dan menyebarkan kerangka serangan TRITON untuk memprogram ulang pengendali SIS," kata FireEye.
Peretas memasang Triton di sebuah workstation SIS yang menjalankan sistem operasi Windows dengan menyamar sebagai aplikasi Triconex Trilog. Versi TRITON yang saat ini dianalisis oleh para peneliti mempunyai banyak fitur, "termasuk kemampuan untuk membaca dan menulis program, membaca dan menulis fungsi individual dan menanyakan keadaan pengendali SIS."
Dengan menggunakan TRITON, penyerang biasanya dapat memprogram ulang logika SIS untuk mematikan proses yang sebenarnya. Meskipun skenario seperti itu tidak akan menyebabkan kerusakan fisik, hanya saja organisasi dapat menghadapi kerugian finansial akibat proses downtime. Selain itu, penyerang juga dapat menyebabkan kerusakan yang mengancam jiwa dengan memprogram ulang logika SIS untuk memungkinkan kondisi tidak aman atau dengan sengaja memanipulasi proses untuk mencapai keadaan yang tidak aman.
"
Penyerang mengerahkan TRITON segera setelah mendapatkan akses ke sistem SIS, menunjukkan bahwa mereka telah melakukan pre-built dan menguji alat yang memerlukan akses ke perangkat keras dan perangkat lunak yang tidak tersedia secara luas."
Peneliti kemamanan percaya bahwa Triton muncul sebagai ancaman serius terhadap infrastruktur kritis, seperti halnya yang dilakukan oleh
Stuxnet, IronGate, dan
Industroyer, karena kemampuannya menyebabkan kerusakan fisik atau operasi mematikan. Peneliti keamanan
Symantec juga telah memberikan analisis singkat.