Business Security, Verschlüsselung & Datensicherheit

Triton-Malware: FireEye entdeckte russischen Ursprung

Triton-Malware: FireEye entdeckte russischen Ursprung
Die Schadsoftware ist speziell auf Industriekontrollsysteme ausgerichtet.

FireEye hat im Rahmen umfangreicher Analysen der Malware Triton eine Spur entdeckt, die direkt in ein russisches Forschungslabor führt. Das Labor soll der russischen Regierung gehören. Die FireEye-Spezialisten konnten auch den Namen eines ehemaligen Labormitarbeiters im Schadcode finden.

Die Hintermänner der Malware Triton

FireEye hat die Hintermänner einer erstmals im Dezember 2017 entdeckten Malware namens Triton entdeckt. wie zdnet.de dazu berichtete. Im Zuge weiterer Angriffsanalysen der Schadsoftware, die speziell auf Industriekontrollsysteme ausgerichtet ist, wurde eine Forschungseinrichtung in Moskau, die der russischen Regierung gehört, entdeckt.

Allerdings räumt FireEye ein, dass es sich nur um eine indirekte Verbindung zum Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) handelt. Die Täterschaft wollen die Sicherheitsforscher über eine sekundäre Malware nachgewiesen haben, die von einer Temp.Veles genannten Gruppe neben Triton eingesetzt wurde.

Die Machenschaften von Triton

Die Triton-Malware nimmt Triconex Safety Instrument System von Schneider Electric ins Visier. Ihre eigentliche Aufgabe ist es, die betroffenen Anlagen herunterzufahren oder Sicherheitsmechanismen zu deaktivieren, damit die Anlage in einem unsicheren Zustand betrieben wird. Bei einem Angriff auf eine Raffinerie des Saudi-Arabischen Unternehmens Tasnee soll es nach einer Attacke mit Triton fast zu einer Explosion gekommen sein, wie die New York Times berichtete.

Spur führte zu Moskauer Experten für IT-Sicherheit

Wie weiter dazu verlautete fand FireEye im Code der sekundären Malware eine Pfadangabe mit einem eindeutigen Alias oder Nutzernamen, der wiederum einem Moskauer Experten für IT-Sicherheit gehören soll, der früher zum CNIIHM gehörte. Zudem wurde bei Scan- und Monitoring-Aktivitäten von Temp.Veles eine IP-Adresse verwendet, die auf das Forschungsinstitut registriert ist. In zu Triton gehörenden Dateien fanden die Forscher zudem kyrillische Namen. Außerdem sollen die Zeitstempel der Malware-Dateien den üblichen Arbeitszeiten in der Moskauer Zeitzone entsprechen.

FireEye schließt jedoch nicht aus, dass diese Spuren bewusst von einem oder mehreren Mitarbeitern des CNIIHM gelegt wurden, um eine Verbindung zwischen Temp.Veles und dem Forschungsinstitut herzustellen, und zwar ohne Genehmigung ihres Arbeitgebers.

„Allerdings ist dieses Szenario sehr unwahrscheinlich“,

kommentiert FireEye.

Das US-Unternehmen unterstellt aufgrund öffentlich zugänglicher Informationen zudem, dass das CNIIHM über die für derartige Angriffe benötigten Werkzeuge verfügt. Zudem soll das Institut Verbindungen zum russischen Militär und zu Betreibern kritischer Infrastrukturen haben.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben