FireEye связала активность Triton с российской исследовательской лабораторией

Российская исследовательская лаборатория якобы причастна к кибератакам с использованием вредоносного ПО Triton (Trisis) на критическую инфраструктуру, включая атаку на принадлежащий компании Tasnee нефтехимический завод в Саудовской Аравии. Соответствующий вывод содержится в отчете, опубликованном компанией FireEye.

Согласно данным технического анализа, ранее произведенного специалистами FireEye, Dragos и Symantec, вредоносное ПО Triton предназначено специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способно вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.

По словам экспертов FireEye, собранная информация позволяет с «высокой точностью предположить», что активность по внедрению в компьютерные системы, в ходе которой был применен Triton, якобы «поддерживалась Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ)», расположенным в Москве.

В FireEye полагают, что Triton тестировала некая хакерская группа TEMP.Veles, связанная с РФ. По версии компании, к данному вредоносному коду якобы причастен некий профессор, работающий в ЦНИИХМ, чье имя не раскрывается.

Доклад FireEye не связывает ЦНИИХМ непосредственно с вредоносным ПО Triton, а с второстепенными модулями, используемыми TEMP.Veles. На связь, по мнению специалистов, указывают несколько фактов, в частности, IP-адрес 87.245.143.140, якобы принадлежащий лаборатории; многочисленные относящиеся к Triton файлы содержат названия и артефакты на кириллице; время создания вредоносных файлов совпадает с часовым поясом Москвы.

Эксперты не исключили вероятность, что один или несколько сотрудников ЦНИИХМ осуществляли деятельность, связанную с TEMP.Veles, без ведома руководства.