Cybersecurity firm FireEye claims to have discovered evidence that proves the involvement of a Russian-owned research institute in the development of the TRITON malware that caused some industrial systems to unexpectedly shut down last year, including a petrochemical plant in Saudi Arabia.
Источник: FireEye: Russian Research Lab Aided the Development of TRITON Industrial Malware
Вот так вот. Обнаружен след российского правительства в промышленном вредоносе под именем TRITON, который эксплуатируя уязвимости в оборудовании Triconex Safety Instrumented System (SIS) от Шнайдер Электрик, шатал энергосистемы различных стран, включая Саудовскую Аравию.
“Огнеглазые” ребята из компании FireEye обнаружили, что разработать (или помочь разработать) такую штуку можно исключительно там, где занимаются промышленными исследованиями, например в московском ЦНИИХМ) плюс ко всему вредоносная активность хакерской группы TEMP.Veles проистекает из того же НИИ, судя по IP-адресу, который они FireEye 87.245.143.140
Мне интересно, почему люди, разработавшие такой вредонос, не подумали, например, о сокрытии своего IP-адреса, используя как минимум пресловутую цепочку socks5-проксей, VPN-ов, выходных TOR-узлов или инфицированных хостов?
Давным-давно (поэтому, хе-хе, пруфов не будет) где-то читал пророчества (ну, или их можно назвать прогнозами), что в будущем вирусы из “забав” для конечных ПК-пользователей (как целевой аудитории) перейдут на более высокий виток развития, как-то атаки на различные фабрики-заводы, включая атомные энергостанции (вспоминаем небезызвестного шифровальщика Petya и его форки/клоны).
Неужели прогнозы начали сбываться?
Мне ещё больше интересно: каким образом проникают эти вредоносы в (по моему мнению) закрытые, локальные компьютерные системы? Сотрудники приносят на флэшках с фоточками из Диснейлендов?