Triton (Trojanisches Pferd)
Triton ist ein Schadprogramm, das 2017 beim Versuch einer Cyberattacke auf saudische Petrochemieanlagen entdeckt wurde. Beim Angriff wurde ein Steuerungsmodul der Firma Schneider Electric angegriffen, welches in einem Notfall im letzten Moment eine Anlage außer Betrieb nehmen soll. Weltweit wird das Steuerungsmodul in vielen Anlagen eingesetzt – unter anderem in Öl-, Gas- und Kernkraftwerken.[1][2]
Geschichte
Im Januar 2017 stürzten die Computer mehrerer petrochemischer Anlagen der Firma National Industrialization Company und Sadara Chemical Company ab. Bei der Cyberattacke wurden die Daten auf den Festplatten gelöscht und mit einem Bild von Alan Kurdi versehen. Gemäß der involvierten Schneider Electric, Ermittlern der NSA, des FBI, des Ministeriums für Innere Sicherheit der Vereinigten Staaten und des Pentagons sowie Experten von FireEye war die Absicht der Cyberattacke eine Explosion der petrochemischen Anlagen.[2] Nur durch Zufall bzw. einen Fehler im Schadprogramm der Angreifer kam es nicht zur Katastrophe.[1]
Bereits 2014 wurde das Netzwerk der Anlagen erkundet, dabei sind die Angreifer über eine Sicherheitslücke einer Firewall in das Netzwerk eingedrungen und konnten aus der Ferne einen Arbeitsplatz übernehmen. Dieser Arbeitsplatz war direkt mit den sicherheitsrelevanten Systemen der Anlage verbunden.[1]
Erste Ermittlungen gingen vom Iran mit Hilfe aus Russland oder Nordkorea als Täterschaft aus.[2] Später vermutete FireEye Russland als Täterschaft. Indizien hierfür seien eine IP-Adresse eines russischen Instituts in Moskau, Dateinamen mit kyrillischen Buchstaben und die Kompilierung der Schadsoftware während Bürozeiten in Moskau. Bei diesen Indizien kann es sich aber genauso gut um eine Falsche-Flagge-Operation handeln.[3][1]
Einzelnachweise
- Die Zeit – Hackerangriff, Lebensgefahr!, abgerufen am 6. Juni 2020
- The New York Times – A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try (englisch), abgerufen am 6. Juni 2020
- FireEye – TRITON Attribution: Russian Government-Owned Lab Most Likely Built Custom Intrusion Tools for TRITON Attackers (englisch), abgerufen am 6. Juni 2020