Z informacji udostępnionych przez FireEye wynika, że za cel ataku napastnicy obrali technologię Triconex firmy Schneider Electric, szeroko stosowaną w sektorze energetycznym (między innymi w elektrowniach atomowych). To pierwszy tego incydent wymierzony bezpośrednio w systemy zabezpieczające, który może stanowić bardzo groźny precedens.
Paraliż takich mechanizmów z pewnością utrudnia specjalistom powstrzymanie ewentualnego ataku (chociażby poprzez jego zamaskowanie) i szybkie wykrycie jego sprawców. Tak właśnie stało się w przypadku wspomnianego incydentu opisywanego przez FireEye.
Złośliwe oprogramowanie o nazwie Triton do przejmowania zdalnej kontroli i zakłócania procesów produkcyjnych, próbowało nawet przywrócić działanie systemów odpowiedzialnych za zabezpieczenia, aby zatrzeć ślady ataku. Część kontrolerów odmówiła jednak posłuszeństwa, doprowadzając do natychmiastowego wyłączenia pracy fabryki.
Czytaj też: Groźny cyberatak wymierzony w klientów 14 polskich banków. Oszuści mogą zyskać dostęp do konta
Specjaliści oceniają, że była to dopiero próba rozpoznania zachowania mechanizmów zabezpieczających w sytuacji bezpośredniego zagrożenia. Napastnicy będą mogli dostosować złośliwy kod do skuteczniejszej modyfikacji takich systemów. Mimo braku potwierdzenia ze strony FireEye dotyczących lokalizacji oraz sprawców ataku, niektórzy z analityków wskazują zakład w Arabii Saudyskiej.
Odpowiedzialność za incydent może według nich ponosić Iran, który przeprowadzał już podobne ataki na krytyczną infrastrukturę w tym kraju w 2012 i 2017 roku. Sprawa będzie gruntownie analizowana przez Schneider Electric przy współudziale amerykańskiego Departamentu Bezpieczeństwa Krajowego.
