A rivelarlo un recente report di FireEye

TRITON
Tempo di lettura: 3 minuti

Un recente report di FireEye dimostra, con un ampio margine di certezza, che lo sviluppo del malware TRITON ICS è stato sponsorizzato dal Central Scientific Research Institute of Chemistry and Mechanics, istituto di ricerca tecnica governativo con sede a Mosca.

FireEye ora traccia questa attività come TEMP.Veles, e si impegna a presentare quante più informazioni pubbliche possibili a supporto di questa valutazione, senza divulgare informazioni sensibili molto importanti.

  • FireEye ha scoperto un’attività di sviluppo di malware che molto probabilmente supporta l’attività TEMP.Veles. Questo include il test di più versioni di software dannoso, alcune delle quali sono state utilizzate da TEMP.Veles durante l’intrusione di TRITON.
  • L’indagine su questa attività di test rivela molteplici legami indipendenti con la Russia, CNIIHM e una persona specifica a Mosca.
  • L’attività online di questa persona mostra collegamenti significativi a CNIIHM.
  • Un indirizzo IP registrato a CNIIHM è stato utilizzato da TEMP.Veles per molteplici scopi, incluso il monitoraggio della copertura open-source di TRITON, ricognizione della rete e attività dannose a supporto dell’intrusione di TRITON.
  • I modelli di comportamento osservati nell’attività TEMP.Veles sono coerenti con il fuso orario di Mosca, dove si trova CNIIHM.
  • Si ritiene che la CNIIHM possieda probabilmente le conoscenze istituzionali e il personale necessario per assistere nell’orchestrazione e nello sviluppo delle operazioni TRITON e TEMP.Veles.

Anche se si può escludere la possibilità che uno o più dipendenti di CNIIHM avrebbero potuto condurre le attività di TEMP.Veles senza l’approvazione del loro datore di lavoro, i dettagli condivisi in questo post dimostrano che questa spiegazione è meno plausibile di TEMP.Veles che opera con il supporto dell’istituto.

Pur sapendo che TEMP.Veles ha implementato il framework di attacco TRITON, non esistono prove specifiche per dimostrare che CNIIHM ha sviluppato (o meno) lo strumento. Se ne deduce che CNIIHM probabilmente mantiene le competenze istituzionali necessarie per sviluppare e prototipare TRITON sulla base della missione autodescritta dell’istituto e di altre informazioni pubbliche.

  • Il CNIIHM ha almeno due divisioni di ricerca che hanno esperienza in infrastrutture critiche, sicurezza aziendale e sviluppo di armi/attrezzature militari:
    • Il Centro di ricerca applicata crea mezzi e metodi per proteggere le infrastrutture critiche da informazioni distruttive e impatti tecnologici.
    • Il Centro di ingegneria meccanica sperimentale sviluppa armi e attrezzature militari e speciali. Cerca anche metodi per consentire la sicurezza delle imprese in situazioni di emergenza.
  • CNIIHM collabora ufficialmente con altre organizzazioni nazionali per la tecnologia e lo sviluppo, tra cui:
    • L’Istituto di Fisica e Tecnologia di Mosca (PsyTech), specializzato in fisica applicata, scienze informatiche, chimica e biologia.
    • L’Associazione dei Centri Scientifici di Stato “Nauka”, che coordina 43 Centri Scientifici della Federazione Russa (SSC RF). Alcune delle sue principali aree di interesse includono la fisica nucleare, l’informatica e la strumentazione, la robotica e l’ingegneria, e l’ingegneria elettrica, tra gli altri.
    • Il Servizio federale per il controllo tecnico e delle esportazioni (FTEC), responsabile del controllo delle esportazioni, della proprietà intellettuale e della protezione delle informazioni riservate.
    • L’Accademia russa delle scienze missilistiche e dell’artiglieria (PAPAH), specializzata in ricerca e sviluppo per rafforzare il complesso industriale russo della difesa.
  • Le informazioni provenienti da un sito web russo di reclutamento, collegato al dominio ufficiale di CNIIHM, indicano che CNIIHM si dedica anche allo sviluppo di sistemi intelligenti per la progettazione e il controllo assistiti da computer e alla creazione di nuove tecnologie dell’informazione.