Forse non tutti ricordano Triton, il malware che nell’Agosto di due anni fa è stato impiegato nel tentativo di far esplodere un impianto petrolchimico in Arabia Saudita, bloccandone da remoto le valvole di sicurezza di alcuni condotti e causarne in questo modo un aumento di pressione.
Proprio per questo motivo, Triton è considerato ad oggi uno dei malware più micidiali al mondo, nonché primo malware nella storia della sicurezza informatica appositamente progettato per mettere in repentaglio le vite degli esseri umani (e non solo).
Ebbene, il gruppo hacker che ha manovrato Triton avrebbe di recente colpito una seconda infrastruttura saudita usando le stesse tecniche del precedente attacco. A riportare la notizia è Fire Eye, azienda specializzata in sicurezza informatica ed incaricata di annientare la minaccia dal sistema da una infrastruttura critica.
Triton, il malware capace di provocare danni catastrofici, torna ad attaccare
Fire Eye non ha rivelato il nome dell’azienda coinvolta dall’attacco, ma dal momento in cui gli esperti hanno parlato di un’infrastruttura critica, con molta probabilità l’impianto colpito potrebbe essere stato una centrale elettrica, delle reti di comunicazioni o comunque altre strutture che forniscono importanti servizi sociali.
Secondo gli esperti, l’intrusione sarebbe cominciata l’anno scorso per poi propagarsi silenziosamente e progressivamente in tutto il sistema. Per fare ciò, “gli autori dell’attacco hanno sfruttato dozzine di strumenti di intrusione personalizzati che hanno consentito loro di ottenere e mantenere l’accesso alle reti It (Information technology) e Ot (Operational technology) del loro obiettivo”.
Tra gli strumenti utilizzati durante l’attacco rientrerebbe anche un software chiamato “SecHack“, un programma progettato per catturare la password e altre credenziali della vittima dalla memoria del computer. Ciò avrebbe permesso agli Hacker di accedere a tutte le macchine a cui l’utente bersaglio aveva accesso.
Un secondo strumento utilizzato per sferrare l’attacco è “NetExec“: questo, imitando la funzionalità di PsExec, avrebbe consentito agli autori dell’accatto informatico di eseguire comandi su computer da remoto ed arrivare in questo modo a comandare le macchine dell’infrastruttura senza essere fisicamente presenti sul posto.
Secondo gli esperti di Fire Eye, tutti gli indizi rilevati inducono a pensare che dietro questo attacco si nasconda lo stesso gruppo di Hacker che ha manovrato il malware Triton. La società di sicurezza informatica sta attualmente lavorando per cercare di scoprire se l’infiltrazione ha colpito anche altre infrastrutture.