Schneider Electric heeft in december 2017 te maken gehad met een cyberaanval waarbij gebruik werd gemaakt van een nieuw type malware: Triton/Trisis. Bij de aanval maakte de malware gebruik van een fout in de firmware van het Triconex veiligheidssysteem. Dat maakte Schneider bekend op de S4-veiligheidsconferentie vorige week in Miami.

Na Stuxnet en Industroyer/Crash Override, is Triton/Trisis de derde malware die specifiek op industriële systemen is gericht. Dit veiligheidssysteem wordt onder andere in petrochemische en nucleaire applicaties toegepast en heeft als doel installaties gecontroleerd uit te schakelen bij onveilige situaties.

Hoe de hackers er in zijn geslaagd de malware in de installaties te krijgen, is niet precies duidelijk. Volgens het magazine ‘Wired’ gaat het om ‘onvolkomenheden in de veiligheidsprocedures’. Na het binnendringen van het systeem is gebruik gemaakt van de eerder genoemde fout in de firmware, waarna een Remote Access Trojan (RAT) is binnengelaten.

Na de hack werd geprobeerd om ongemerkt de verschillende veiligheidslagen te manipuleren. De hack werd ontdekt toen per ongeluk diverse systemen zichzelf uitschakelden. Volgens Schneider zit de firmware fout alleen in vroege versies van Triconex. Er wordt inmiddels gewerkt aan een software-update.