Non è una novità che le reti IT collegate ai sistemi di controllo industriale siano un potenziale veicolo per attacchi mirati. L'elemento su cui va concentrata l'attenzione è che questa forma di attacchi si sta sviluppando in numero come in sosfisticazione: Mandiant ha segnalato in questi giorni il caso di un attacco a una infrastruttura definita "critica" che ha portato al blocco di alcuni sistemi. Un fattore importante è che questo attacco si è basato su un malware mirato, battezzato Triton, sviluppato per colpire un tipo particolare di controller industriali. Dopo Stuxnet e Industroyer, si tratta del terzo malware creato per colpire l'operatività delle infrastrutture critiche.

Secondo Mandiant, Triton è stato pensato per interagire con i controller Triconex prodotti da Schneider. Questi costituiscono un SIS (Safety Instrumented System), ossia una rete di monitoraggio dei sistemi e dei processi industriali che agisce in parallelo con la rete di controllo tradizionale, o Distributed Control System (DCS). In estrema sintesi, il sistema SIS verifica il buono stato dei processi e in caso di emergenza cerca di riportarli alle condizioni ottimali. Se questo non è possibile, blocca del tutto le attività del processo monitorato.

L'incidente su cui Mandiant ha indagato è stato generato grazie all'infezione di una workstation collegata alla rete SIS, passando prima attraverso la rete del DCS collegato. Una volta installato sulla workstation, il malware Triton ha cercato di riprogrammare i controller Triconex ma così facendo ne ha portati alcuni a uno stato di errore, cosa che a cascata ha portato automaticamente al blocco dei processi industriali collegati. È stato questo che ha fatto avviare una indagine e poi scoprire l'infezione.



Il blocco dei sistemi non pare essere stato volontario, il che però non rende l'attacco meno grave. Mandiant ritiene anzi che sia stato opera di un cosiddetto state-sponsored actor e non di criminali informatici convenzionali o, peggio, di un hacker occasionale. Questo perché il tipo di attacco mostra la volontà di esplorare e di prendere il controllo di una infrastruttura critica, senza apparente motivo economico. Gli attaccanti hanno infatti compromesso sia il DCS sia il SIS, mettendosi nella condizione ideale per creare il massimo danno. Un attaccante "normale" si sarebbe invece probabilmente fermato al DCS.

Inoltre sviluppare Triton ha richiesto competenze e strumenti che non sono ampiamente disponibili. I controller Triconex usano un loro protocollo di comunicazione e controllo che non è documentato pubblicamente, quindi gli attaccanti hanno dovuto prima effettuarne il reverse engineering in proprio. Il rischio è che questo caso apra la porta ad altri attacchi del genere, che possono "ispirarsi" a Triton per sviluppare strategie simili di penetrazione in impianti industriali.