Bereits Ende 2017 veröffentlichten FireEye einen Bericht über eine Schadsoftware-Framework namens TRITON, dass mit großem Aufwand für komplexe, lang anhaltende und verdeckte Zugriffe auf Industrie-Steuerungsanlagen entwickelt worden ist. Aufgrund der Komplexität der Software und der, auf spezielle technische Baugruppen eines bestimmten Herstellers maßgeschneiderten Software, die sehr an Stuxnet erinnerten, gehen Analysten unterschiedlicher Unternehmen von einem staatlichen Ursprung des auch als „TRISIS“ bezeichneten Malware-Frameworks mit dem Ziel von Spionage oder möglicherweise auch Sabotage aus. Aufgrund weiter, entdeckter Datenbestandteile der Malware sehen die Analysten ihre Bewertungen mittlerweile als erhärtet an und verweisen darauf, dass TRITON, ebenso wie Stuxnet, in der Lage und explizit dafür entwickelt worden sein dürfte physischen Schaden an Industrieanlagen auszulösen:
Experts say the unique malware was carefully designed to manipulate safety controllers produced by Schneider Electric that essentially manage industrial equipment in nuclear power plants, oil and gas production facilities, and paper mills. It is just the fifth known malware variant capable of forcing physical damage by taking over industrial control systems (ICS). Trisis could be used by hackers to force a Schneider Electric safety instrumented system (SIS) to malfunction, leading machinery to breakdown or even explode.
(Q: cyberscoop.com / lokale Kopie)
Laut den Medienberichten sind Teile des Frameworks (vermutlich unabsichtlich) auf öffentlichen Virus-Datenbank hochgeladen worden und waren dort für einen knappen Tag verfügbar. Aus diesem Grund rechnen die Analysten damit, dass sich das Framework verbreitet hat und damit möglicherweise auch in Hände von Akteuren gelangt sein dürfte, die ihrerseits damit entsprechende Industrieanlagen angreifen könnten – selbst wenn die Teile selbst noch für keinen vollständigen Angriff genutzt und entsprechend ausgebaut werden müssen. Das Thema der sog. Proliferation von Malware ist an dieser Stelle bereits näher beschrieben worden und dürfte in den kommenden Jahren zunehmend an Brisanz bekommen, da es die Entwicklung weiterer, in aller Regel kleiner staatlich militärischer Akteure fördert, die sich zwar im Bereich der klassischen Rüstungsentwicklung aufgrund der enormen wirtschaftlichen Belastungen nicht etablieren können, angesichts relativ geringer fiskalischer Aufwände aber in der militärischen „Nische“ offensiver Cyber-Fähigkeiten positionieren könn(t)en. Entsprechende Entwicklungen sind derzeit vor allem am Beispiel Nord-Koreas – die lt. CIA unter anderem für WannaCry zuständig gewesen sein sollen – zu beobachten.