‘Potentieel levensgevaarlijke Triton-malware gemaakt in opdracht van Russische overheid’

Beveiligingsonderzoekers melden dat een aan Rusland gelieerd onderzoeksinstituut achter malware zit die potentieel grote gevolgen zou hebben. Het gaat om malware die in de loop van 2017 werd aangetroffen in een Saoedi-Arabische energiecentrale en specifiek gericht leek te zijn op kritische infrastructuur.

Dat stellen onderzoekers van FireEye. Zij achten het zeer waarschijnlijk dat een Russisch bedrijf de malware heeft ontwikkeld, getest en vervolgens verspreid. Gewezen wordt op het Central Scientific Research Institute of Chemistry and Mechanics (CSRICM). Dat instituut is in Moskou gevestigd en houdt zich bezig met de ontwikkeling van militaire toepassingen.

Potentieel levensgevaarlijk

De malware, die de naam Triton draagt, was specifiek ontworpen om te werken met systeemcontrollers van Schneider Electric. Die Safety Instrumented System (SIS)-controllers zijn specifiek ontworpen om te voorkomen dat er zaken mis kunnen gaan bij dit soort belangrijke voorzieningen. Triton was echter ontworpen om een productieproces stop te zetten, of SIS-apparatuur in een onveilige staat te laten werken.

De groep achter de malware slaagde er vorig jaar bijna in om een ontploffing te veroorzaken bij een petrochemische fabriek in Saoedi-Arabië. De oorsprong van de malware was toen deze in 2017 ontdekt werd een mysterie, tot nu. De onderzoekers konden de Triton-malware niet direct aan het Russische onderzoeksinstituut koppelen.

Secundaire malware

De secundaire malware die gebruikt werd door Triton kon dat echter wel. De secundaire malware was nodig voor de payload van Triton, en kon aan een bron gekoppeld worden. De onderzoekers stellen dat ze er snel achter kwamen dat het ging om malware met unieke indicatoren die gebruikt worden door het CSRICM.

Zo waren er bepaalde bestanden die passen bij de naam van een medewerker van het onderzoeksinstituut. Daarnaast bleken IP-adressen geregistreerd te zijn bij het CSRICM en waren enkele bestandsnamen Russisch. Opvallend genoeg waren de tijdstippen waarop de malware gemaakt werd gekoppeld aan Russische kantoortijden.

FireEye stelt dat het ook mogelijk is dat “een of meer medewerkers van het CSRICM zonder medeweten van hun werkgever” de bestanden gekoppeld heeft. “Maar dit scenario is zeer onwaarschijnlijk.” Daar het onderzoeksinstituut over de middelen beschikt om dit soort malware te ontwikkelen, en de nodige banden met de Russische inlichtingendiensten heeft, achten de onderzoekers het waarschijnlijk dat Triton bewust door CSRICM ontwikkeld is.