Triton (logiciel malveillant)

Triton est un logiciel malveillant découvert dans une usine pétrochimique saoudienne en 2017^[1]. Capable de désactiver les systèmes de sécurité et de provoquer une catastrophe industrielle, il a été nommé le « malware le plus meurtrier »^[2].

Du reverse-ingeniering pour concevoir Triton

Les automates programmables (PLC) utilisés pour la commande et la surveillance des processus industriels sont normalement programmés à partir de postes de travail d'ingénierie spécialisés à l'aide de logiciels spécialisés fournis par leur fabricant. Dans le cas des contrôleurs de sécurité Triconex, le logiciel s'appelle TriStation et il utilise un protocole propriétaire non documenté que les pirates ont utilisé en rétro-ingénierie pour créer le malware Triton^[3].

« Le cycle de vie d'une attaque ciblée d'un ICS sophistiqué est souvent mesuré en années », estiment les chercheurs de FireEye. « Les attaquants ont besoin de beaucoup de temps pour se préparer à une telle attaque afin d'en apprendre davantage sur les processus industriels de la cible et de construire des outils personnalisés. Ces attaques sont aussi souvent menées par des États-nations qui peuvent être intéressés à se préparer à des opérations d'urgence plutôt qu'à mener une attaque immédiate (par exemple installer un logiciel malveillant comme Triton et attendre le bon moment pour l'utiliser). Pendant ce temps, l'attaquant doit assurer un accès continu à l'environnement cible sous peine de perdre des années d'efforts et de perdre des logiciels malveillants ICS personnalisés potentiellement coûteux. Cette attaque n'a pas fait exception. »

Attribution

En 2018, FireEye désigne le CNIIHM, une unité de recherche scientifique en Russie, comme responsable probable du développement de Triton^[4].

En octobre 2020, l'Office of Foreign Assets Control confirme les soupçons à l'encontre du CNIIHM^[5].

Références

↑ (en) « TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping » (consulté le 3 janvier 2021)
↑ (en) « Triton is the world’s most murderous malware, and it’s spreading » (consulté le 3 janvier 2021)
↑ « Le malware Triton très actif dans le sabotage industriel - Le Monde Informatique », sur LeMondeInformatique, 11 avril 2019 (consulté le 17 décembre 2024)
↑ (en) « The inside story of the world's most dangerous malware » (consulté le 3 janvier 2021)
↑ (en) « Treasury Sanctions Russian Government Research Institution Connected to the Triton Malware » (consulté le 3 janvier 2021)

[1] (en) « TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping » (consulté le 3 janvier 2021)

[2] (en) « Triton is the world’s most murderous malware, and it’s spreading » (consulté le 3 janvier 2021)

[3] « Le malware Triton très actif dans le sabotage industriel - Le Monde Informatique », sur LeMondeInformatique, 11 avril 2019 (consulté le 17 décembre 2024)

[4] (en) « The inside story of the world's most dangerous malware » (consulté le 3 janvier 2021)

[5] (en) « Treasury Sanctions Russian Government Research Institution Connected to the Triton Malware » (consulté le 3 janvier 2021)

[1]

[2]

[3]

[4]

[5]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker