2017年に中東の中核的な産業制御システムを狙ったトロイの木馬「TRITON」では、「Triconex」安全計装システム(SIS)コントローラのゼロデイ脆弱性を悪用して、攻撃が実行された。
TRITONが最初に検知されたのは、2017年8月のことだ。12月に中東の産業制御システムを停止させる試みで使用されたことで、同マルウェアは大きな注目を集めた。
FireEyeの調査部門「Mandiant」の研究者らによると、TRITONは中東の重要なインフラストラクチャを有する組織(名前は明かされていない)の緊急停止システムを不正に操作することに成功したという。
Symantecによると、TRITONは、産業制御システム(ICS)で使用されるTriconex製安全計装システム(SIS)コントローラを不正に操作するために設計されたという。
Schneider Electricが先週更新したセキュリティアドバイザリによると、この脆弱性はTriconex製SISコントローラの旧バージョンに存在し、12月の攻撃では、「複雑なマルウェア感染シナリオの一部」を担ったという。
先述した組織への攻撃で、TRITONは「Tricon」ファームウェアのゼロデイバグを利用して、ICSをスキャンおよびマッピングし、偵察を行った。
そのセーフティネットワークは、物理アクセスか遠隔操作のいずれかによりアクセス可能だ。Triconキースイッチが「PROGRAM」(プログラム)モードだったため、同マルウェアはペイロードの展開に成功した。
Schneider Electricの米国製品セキュリティオフィスでグローバルサイバーセキュリティアーキテクトを務めるPaul Forney氏は、Dark Readingに対して、「ひとたびコントローラ内に侵入すると、このマルウェアはファームウェアのゼロデイ脆弱性を悪用して、リモートアクセス型のトロイの木馬(RAT)をメモリに注入し、権限を昇格させる。同マルウェアはマシンの最も高い権限で動作するため、攻撃者はそのRATを通して好き勝手に行動することが可能になる」と述べた。
その後、RATであるTRITONがシステムを制御し、中核的なサービスと緊急制御装置を破壊することで、制御装置を不正に操作する。これによって、重大な混乱が引き起こされるおそれもある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
