Toistaiseksi tuntematon hakkeriryhmä on tunkeutunut sähkötuotantoteollisuudessa laajasti käytössä olevaan Triconex-turvallisuusjärjestelmän yksikköön, uutisoi The Guardian.

Mahdollisesti Saudi-Arabiassa sijaitsevan voimalaitoksen toiminta pysäytettiin viime viikolla, kun joidenkin tietojen mukaan valtiorahoitteinen hakkeriryhmä otti ohjat voimalan turvatyöasemista Triton-nimisen haittaohjelman avulla.

Työasemien turvallisuusjärjestelmä on eurooppalaisen Schneider Electric -yhtiön valmistaman Triconex-tuotemerkin TriStation 1131 -ohjelmisto.

Yhdysvaltalaisen CyberX-yrityksen mukaan Iranin valtio saattaa olla osallinen hyökkäykseen.

Ohjelmistovalmistaja lähetti hyökkäyksen paljastuttua turvahälytyksen muille samaista ohjelmistoa käyttäville tahoille.

Jotkin turvatyöasemat siirtyivät vikaturvalliseen tilaan sen jälkeen, kun hakkerit yrittivät uudelleenohjelmoida niitä.

Hyökkäyksen tarkoituksena oli mahdollisesti ottaa selvää turvallisuusjärjestelmän muuntelumahdollisuuksista tulevia hyökkäyksiä silmällä pitäen.

Viimeisimpien tietojen mukaan hyökkäys kohdistui vain yhteen voimalaitokseen. Turvallisuusohjelmistosta ei tiettävästi ole löytynyt vastaavanlaisia hyökkäyksiä mahdollistavia haavoittuvuuksia.

The Guardianin mukaan asiantuntijat ovat vahvistaneet, että kyseessä on ensimmäinen julkisuuteen kerrottu tuotantolaitoskäyttöön suunnattuun turvallisuusjärjestelmään kohdistunut hakkerihyökkäys.

Kyberturvallisuuden asiantuntijoiden mukaan voimaloiden turvajärjestelmiä voidaan huijata niin, että ne arvioivat kaiken olevan kunnossa, vaikka tuotantolaitteistoa vahingoitettaisiin hyökkäyksessä. Asiantuntijat arvoivat, että samanlaista hyökkäystä tullaan yrittämään uudelleen.

Yhdysvaltalaisen kyberturvallisuusyritys Symantecin mukaan hyökkäyksessä hyödynnetty Triton-haittaohjelma on ollut toiminnassa tämän vuoden elokuusta lähtien. Triton saastuttaa Windows-tietokoneita Stuxnet-madon tavoin.

Teollisten ohjausjärjestelmien (ICS) häirintään tarkoitetulla Stuxnet-haittaohjelmalla vahingoitettiin Iranin ydinaseohjelmaa vuosien 2009-2010 välisenä talvena. Stuxnetin katsotaan yleisesti olevan Yhdysvaltain ja Israelin tiedustelupalveluiden käsialaa.

Triton eroaa Stuxnetistä siten, että se on ohjelmoitu hyökkäämään tuotantolaitosten turva-automaatiojärjestelmiin (Safety Instrumented System) sekä laitteisiin, kun taas Stuxnet pyrkii ohjaamaan PLC-tietokoneiden kautta voimalaitosten automaatioprosesseja.

Myös Ukrainan pääkaupungin Kiovan sähköverkon joulukuussa 2016 kaatanut Industroyer-haittaohjelma on läheistä sukua Tritonille.

Mikäli Iran todella on hyökkäyksen takana ja kohteena oli juuri Saudi-Arabia, ei silloin voida puhua ensimmäisestä kerrasta, kun tällaista tapahtuu maiden välillä.

Kyberturvallisuuden tutkijoiden kansainvälisessä piirissä uskotaan vakaasti, että Iran hyökkäili Saudi-Arabian tietoverkkoihin useaan otteeseen vuonna 2012 ja on jatkanut toimintaa myös tämän vuoden aikana. Verkkoiskuissa on käytetty Shamoon-nimellä tunnettua tietokonevirusta.

The Guardianin mukaan Yhdysvaltain kotimaan turvallisuudesta vastaavan Homeland Security tutkii hyökkäystä ja siinä käytettyä Triton-haittaohjelmaa ”arvioidakseen sen mahdolliset vaikutukset vaaranalaiseen infrastruktuuriin”.

Tekniikan Maailma uutisoi tämän vuoden heinäkuussa, että USA:n ydinvoimayhtiöiden tietoverkot sekä lukuisat yhdysvaltalaiset energiayhtiöt ja tuotantolaitokset olivat olleet useiden kyberhyökkäysten kohteina kahden kuukauden ajan.