Triton

Ono što Triton čini vrlo opasnim je - da on nije klasični računarski virus.

Kada su u decembru 2017. godine računari koji kontrolišu jednu od rafinerija u Saudijskoj Arabiji odjednom otkazali poslušnost, a čitavi sistemi za upravljanje fabrikom prestali sa radom, niko nije ni slutio da je u pitanju organizovani napad, uz korišćenje novog i opasnog računarskig virusa.

Virus je napao računare koji su koristili 'Triconex' tehnologiju za fabrike ovog tipa, a bezbednosna kompanija Symantec je ovaj softver kasnije nazvala 'Triton'.

Pandemija računarskih virusa

Kompjuterski virusi postoje od kako postoje i sami računari. Virus je vrsta računarskih programa koji može da se sam kopira (umnožava) i širi putem računarskih mreža ili putem interneta.

Postoje razne vrste računarskih virusa - crvi (worm) koji uništavaju ili kompromituju podatke, malware virusi koji su dizajnirani i programirani za tačno određene akcije, pa čak i Ad-ware virusi koji su samo 'dosadni' - stalno prikazuju reklame.

Gotovo sve vrste računarskih virusa takođe su sposobne i za krađu podataka korisnika, lozinki, dokumenata sa hard diskova, memorijskih kartica, pa čak i i onlajn skladišta podataka (cloud storage).

Treba reći da mnoge aplikacije i programi imaju 'rupe' u svom kodu, koje omogućavaju krađu podataka ili oštećenje računara i uređaja čak i bez bilo kakvih virusa ili malwera. Često i čitavi operativni sistemi imaju veliki broj ovakvih rupa (bagova) koje su javno poznate, i hakeri ih koriste dok ih proizvođač softvera ne 'zakrpi' nadgradnjom svog softvera.

Digitalni bog Okeana

Ono što Triton čini vrlo opasnim je - da on nije klasični računarski virus. Zapravo, softver kao što je Triton (Američke agencije NSA i CIA ga nazivaju i Trisis) nikada do sada nije viđen. Triton je inače, mitološki bog Okeana, i po predanjima može da se neopaženo kreće svim morima - slično kao što i ovaj virus može da se neopaženo nalazi u računaru godinama.

Triton je dizajniran da napada ne same računare zaposlenih ili velike server računare, već posebne SCADA sisteme. SCADA je standard za sve industrijske računare, koji kontrolišu razne industrijske mašine, operacije i proizvodnju. Skraćenica od Supervisory control and data acquisition (Nadzor, kontrola i dobavljanje podataka) SCADA sistemi su prisutni u svim većim fabrikama izgrađenim u zadnjih trideset godina.

Tako je bilo i u decembru 2017. Nadležni u Saudiskoj rafineriji su primetili da je virus Triton trajno onesposobio uređaje za merenje protoka nafte, kontrolu procesa u rafineriji, i čak same bezbednosne ventile i uređaje u rafineriji. Ovako nešto nikada do tada nije bilo zabeleženo u svetu, i izazvalo je veliku zabrinutost u petro-hemijskoj industriji, ali i obaveštajnim agencijama i međunarodni političkim krugovima.

Dejan Cvetković, inženjer mašinstva, kaže da SCADA sistemu upravljaju gotovo svim novijim fabrikama:

"Kada čujete u medijima da će roboti i računari uzeti posao ljudskim radnicima, u stvarnosti su to zapravo SCADA sistemi. Obično se sastoje od glavnog računara, u kome se nalaze CAD/CAM nacrti proizvoda koji fabrika proizvodi, više manjih računara i samih mašina u proizvodnji, koje mogu biti razne - CNC, razne transportne trake, roboti za zavarivanje, i slično. U malim fabrikama obično postoji jedan SCADA sistem, dok je u onim velikim, kao što su fabrike automobila ili elektronske kompanije, postoji na stotine, pa i preko hiljadu SCADA računara" kaže Cvetković.

Ono što je naročito zabrinulo stručnjake za računarsku bezbednost je to da je Triton namenski napisan da napadne tačno određeni sistem, tačno određene i specifične uređaje u toj rafineriji. To se nikada do tad nije dešavalo - obično su virusi bili dizajnirani da napadnu standardne računare, koje koristi najveći broj korisnika u svetu.

Našli smo krivca - ili ipak ne

Pre nedelju dana, Američko ministarstvo finansija (US Department of Treasury), citirajući CAATSA zakon, uvelo je sankcije neimenovanoj Ruskoj državnoj agenciji zbog povezanosti sa Triton softverskim virusom.

Ruska državna agencija koja se sumnjiči za povezanost sa napadima ovim virusom je najverovatnije 'Centralna naučna laboratorija za hemiju i mehaniku' , ali (kao i uvek u ovakvim slučajevima) Ruska strana nije htela da komentariše ove sankcije, te sve negira.

Takođe, prošle nedelje je obelodanjen i izveštaj agencija FBI i CISA, u kojima je identifikovana Ruska hakerska grupa 'Energetic Bear', poznatija i kao Dragonfly. Ova grupa je targetirala državne agencije u SAD na raznim nivoima - od lokalnog, preko okružnog, sve do federalnog nivoa. U izveštaju se navodi i da je ova grupa uspela da dođe do podataka 'u barem dva napada'. Ruski hakeri su koristili poznate manjkavosti i propuste u mrežnoj opremi i serverima, kao i serverskom softveru.

Ipak, veliki broj stručnjaka nije ubeđen da je ovo kraj 'Triton-sage' . Postoji opravdana sumnja da su druge velike hakerske grupe (kao što su TEMP, Isotope i Trickbot) došle do samog računarskog koda Tritona, modifikovali ga, te ga sada koriste pod nazivom 'TsNIKhM'. Sličan softver je korišćen i ranije ove godine kada je napadnuta računarska mreža aerodroma u San Francisku, i oboreni su njihovi web-sajtovi koji su korišćeni za zakazivanje letova i plaćanje karata.

Nikola Manasijević, master ekonomije i bankarstva, objašnjava da sankcije Američkog ministarstva finansija zapravo važe u celom svetu:

"Kada ste pod CAATSA sankcijama, sa vama neće poslovati gotovo nijedna banka u svetu. Elektronsko plaćanje je praktično nemoguće, a sva sredstva koja imate su zamrznuta. Velika većina zemalja širom sveta poštuje ovakve zabrane, jer - nijednoj zemlji nije u interesu da se sukobljava sa američkom administracijom. Pod sličnim sankcijama su i institucije i kompanije iz Irana, Severne Koreje i Kine - najnoviji primer je kompanija Huawei " kaže Manasijević.

Za igru je potrebno dvoje

Iako je u slučaju  Tritona 'najsumnjivija' Rusija, i druge velike države razvijaju sličan 'naoružani softver'.

Tako je vrlo verovatno da agencije SAD stoje iza sličnog virusa pod imenom STUXNet, koji je 2010. godine korišćen da onesposobi nuklearna postrojenja u Iranu.

STUXNet virus je delimično ili trajno uništio veliki broj centrifuga za obigaćivanje uranijuma, a Iran je zbog ovoga zatvorio postrojenje Natanz, i danas ima manje od 3.800 ovih centrifuga, a zbog svog nuklearnog programa je i pod međunarodnim sankcijama.