Afgelopen donderdag publiceerde beveiligingsbedrijf FireEye een waarschuwing, nadat het beveiligingssysteem van een fabriek werd aangetast door malware. De naam en locatie van de fabriek zijn niet bekend gemaakt. Vermoedelijk gaat het om een fabriek in het Midden-Oosten. De aanval lijkt een voorbereiding op een grotere. Dat meldt Digital Trends.
FireEye richt de waarschuwing op gebruikers van Triconex-software. Triconex is beveiligingssoftware die gebruikt wordt in de energiesector, bijvoorbeeld in kerncentrales en olieraffinaderijen.
Antivirusbedrijf Symantec zegt dat Triton zijn aanval specifiek richt op de SIS, safety instrumented systems. SIS-controlesystemen zorgen ervoor dat de condities in de fabriek veilig blijven. Het neerhalen van de SIS betekent dat de fabriek stil komt te liggen. In het ergste geval kunnen veilige werkomstandigheden niet meer gewaarborgd worden. Ook kan de fabriek kwetsbaar worden voor sabotage.
In het geval van de laatste aanval schakelden sommige SIS zichzelf automatisch uit in safe shutdown mode. Daardoor werden de processen in de fabriek stilgelegd en werknemers gewaarschuwd.
Stuxnet
FireEye denkt dat het hier gaat om een natiestaat, die een aanval aan het voorbereiden is. De Triton-malware zien zij in dezelfde categorie als Stuxnet uit 2010 en Industroyer uit 2016. Stuxnet vernielde destijds bijna een vijfde van Iran’s nucleaire centrifuges. De Stuxnet-worm wordt gezien als een Amerikaans-Israëlische samenwerking tegen Iran. De makers van Triton beschikken volgens FireEye over een grote technische capaciteit. Bovendien zijn ze niet op geld uit en zijn ze vasthoudend. Dat zijn allemaal tekenen dat het hier niet gaat om een enkele hacker, maar om een hele staat.