Mới đây, một phần mềm mã độc mới vừa được phát hiện với tên gọi Triton hoặc Trisis. Mã độc này được phát hiện bởi Tập đoàn Trend Micro với định dạng Troj_Trisis.A. Được biết, Triton tấn công vào Hệ thống kiểm soát an toàn và khiến các nhà máy phải ngừng mọi hoạt động (Theo báo cáo từ một nhà máy ở vùng Trung Đông). Dựa theo bản báo cáo, vẫn chưa có thiệt hại đáng kể nào xảy ra vì hệ thống chỉ tự động ngừng làm việc. Tuy nhiên, nếu cuộc tấn công này nhằm vào các ngành công nghiệp quan trọng, đặc biệt là các nhà máy sản xuất năng lượng hạt nhân, sẽ gây ra hậu quả cực kì nghiêm trọng. Việc khiến hệ thống ngừng hoạt động có thể là bước chuẩn bị trước để xâm nhập và đánh cắp dữ liệu công nghệ của tội phạm.
Trong vụ tấn công bằng Trisis đầu tiên, mục tiêu trực tiếp của tin tặc là hệ thống an toàn Triconex thuộc công ty Schneider Electric tại Trung Đông. Tương tự như cuộc tấn công bằng sâu máy tính Stuxnet trước đó, Triton có thực sự trở thành mối nguy hại đến bảo mật của hệ thống điều khiển công nghiệp ICS (Industrial Control Systems).
Đã có hai công ty báo cáo về việc bị tấn công bởi mã độc này. Một công ty bảo mật trong đó phát hiện rằng loại mã độc này chuyên tấn công vào hệ thống ICS. Nạn nhân của vụ tấn công được ghi nhận lại thuộc khu vực Trung Đông vào giữa tháng 11 vừa qua. Mã độc này được đặt tên là . Nguyên nhân do nó nhắm vào hệ thống an toàn Triconex của Schneider Electrix (Schneider Electrix’s Triconex Safety Instrumented System – SIS). Báo cáo còn lại được đưa ra liên quan đến sự cố tại nhà máy công nghiệp từ một công ty bảo mật khác. Họ gọi loại mã độc này là Triton vì có liên quan tới hệ thống Triconex.
Những năm gần đây, đã có nhiều cuộc tấn công vào ICS diễn ra. Mục tiêu chủ yếu là Hệ thống Kiểm soát Điều khiển và Thu thập dữ liệu (SCADA). Đây là lần đầu tiên, hệ thống Kiểm soát an toàn (SIS) bị nhắm đến bởi phần mềm độc hại.
Hệ thống SIS được lập trình để kiểm soát mức độ an toàn của nhà máy. Khi có sự cố xảy ra, SIS sẽ tự động cảnh báo và điều chỉnh hệ thống về mức an toàn, hoặc tắt hệ thống để giảm thiểu nguy hiểm. Những bộ điều khiển này được thiết kế riêng biệt và chạy độc lập với các thiết bị khác với mục đích duy nhất là kiểm soát sự an toàn của nhà máy. Trong suốt quá trình tấn công, hệ thống kiểm soát Triconex sẽ tự động chuyển sang chế độ Lập trình (Program Mode) và bị tên tội phạm điều khiển.
Quan sát hệ thống SIS, tin tặc sẽ phải có quyền truy cập vào mẫu thiết bị cụ thể để lập trình mã độc riêng biệt cho hệ thống đó. Theo như báo cáo, loại mã độc chỉ tấn công vào thiết bị Triconex SIS của công ty Schneider Electric. Vì vậy, cuộc tấn công này chỉ nhằm vào các mục tiêu cố định và không thể mở rộng trên quy mô lớn. Như trong báo cáo trong vụ tấn công đầu tiên, kẻ tấn công sẽ truy cập vào SIS và cài TRITON trên một máy trạm Windows. Sau đó, bộ điều khiển SIS sẽ bị lập trình lại. Công cụ thiết lập và bảo trì cho sản phẩm Triconex SIS là TriStation. Đây là giao thức độc quyền và không thể truy cập công khai. Triton/Trisis cải biến giao thức này để giúp kẻ tấn công truy cập vào hệ thống Triconex SIS.
Khi bộ điều khiển SIS đã bị xâm nhập, kẻ tấn công lập trình lại thiết bị để cố tình kích hoạt trạng thái an toàn, khiến thiết bị rơi vào thời gian chết và đánh cắp dữ liệu. Tin tặc cũng có thể tái thiết lập lại các thông số an toàn của thiết bị SIS. Điều này có thể gây ảnh hưởng nghiêm trọng đến sản xuất, cơ sở hạ tầng và thậm chí là tính mạng con người.
Theo như các báo cáo, mã độc này đã gây ảnh hưởng lớn đến các nhà máy ở Trung Đông. Nó tấn công vào thiết bị kiểm soát an toàn được sử dụng rộng rãi trong các cơ sở hạ tầng quan trọng, đặc biệt là ở các nhà máy năng lượng hạt nhân. Theo các chuyên gia an ninh nhận định, đây rất có thể là hành động khủng bố, không loại trừ hoạt động phạm tội của các nhóm tin tặc.
Cuộc tấn công bằng mã độc Triton/Trisis được xem là một sự kiện đặc biệt quan trọng trong cộng đồng ICS. Càng lo lắng hơn khi những cuộc tấn công không diễn ra thường xuyên cũng như chưa có kết luận cuối cùng về vụ việc này. Mức độ thiệt hại tiềm ẩn của nó quá lớn, không những có thể gây ảnh hưởng nghiêm trọng về vật chất mà còn liên quan trực tiếp tới tính mạng con người. Sau Stuxnet, Triton/Trisis được cho là vụ tấn công tinh vi với mục tiêu là các ICS cao cấp.
Việc tấn công vào các nhà máy năng lượng hạt nhân bằng mã độc có thể gây thiệt hại rất lớn về vật chất cũng như tính mạng con người. Đây gần giống với kịch bản của các vụ khủng bố đang diễn ra trên toàn thế giới. Triton/Trisis được xem như là một con đường mới của tội phạm công nghệ có thể gây thiệt hại đáng kể đến môi trường ICS.