Из Сети стали исчезать цифровые следы после публикации отчета о вредоносе Triton
В Сети начали пропадать цифровые следы, указывавшие якобы на связь Triton с РФ.
В октябре минувшего года компания FireEye опубликовала отчет, в котором высказала предположение о том, что к созданию вредоносного ПО Triton (также известного как Trisis и HatMan), предназначенного для атак на АСУ ТП, могут быть причастны разработчики из РФ. В своем докладе компания упомянула расположенный в Москве Центральный научно-исследовательский институт химии и механики (ЦНИИХМ), хотя подчеркнула, что не связывает Triton непосредственно с исследовательской лабораторией. Речь шла о второстепенных модулях, которые тестировала некая хакерская группа TEMP.Veles, предположительно связанная с РФ. Эксперты не исключили вероятность, что один или несколько сотрудников ЦНИИХМ осуществляли деятельность, связанную с TEMP.Veles, без ведома руководства. Как рассказал в интервью изданию SecurityWeek старший аналитик FireEye Нэйтан Брубэйкер (Nathan Brubaker), спустя некоторое время после публикации отчета из Сети начали исчезать цифровые следы, позволившие связать Triton с РФ. В частности, с сайта ЦНИИХМ были удалены некоторые фотографии, в том числе сотрудника якобы связанного с Triton, кроме того, были изменены данные об отделе, где он работал.
Также были исправлены данные WHOIS, указывавшие на связь фигурировавших в отчете IP-адресов с институтом. Ранее один из этих адресов был замечен в разведывательной кампании, направленной на предприятия-операторы критической инфраструктуры, а также в другой вредоносной деятельности, к которой предположительно была причастна TEMP.Veles.
О существовании вредоносной программы Triton стало известно в августе 2017 года после атак на критическую инфраструктуру ряда организаций на Ближнем Востоке. Triton предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способен вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.
В апреле нынешнего года специалисты рассказали о новой атаке с использованием вредоносного ПО Triton, направленной на одно из предприятий критической инфраструктуры. Аналитики не раскрыли ни название компании, ни приблизительный период, когда была совершена атака. Как отмечается, злоумышленники выжидали почти год, незаметно проводя рекогносцировку, и только затем использовали доступ к автоматической системе функциональной безопасности (Safety Instrumented System, SIS).
