FireEye publie aujourd’hui un nouveau rapport qui atteste le fait que le développement du logiciel malveillant TRITON ICS a été soutenu par le Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM alias ЦНИИХМ), une institution de recherche technique appartenant au gouvernement russe et située à Moscou.
FireEye suit maintenant cette activité sous le nom de TEMP.Veles.
Il est important de noter que cette évaluation de l’implication ne s’étend pas au TRITON attack framework – outils spécialisés dans la manipulation des systèmes de contrôle industriel (ICS) dans un environnement cible. Il est possible que l’implication du CNIIHM s’étende à la boîte à outils TRITON, mais aussi que d’autres organisations soient impliquées dans les dernières étapes du cycle de vie des attaques TEMP.Veles.
Les artefacts comportementaux adverses suggèrent également que les opérateurs de TEMP.Veles sont basés à Moscou, ce qui conforte le scénario selon lequel CNIIHM, une organisation de recherche russe à Moscou, a été impliquée dans l’activité de TEMP.Veles.
Bien que les chercheurs soient sûrs que TEMP.Veles a été déployé dans le cadre de l’attaque TRITON, il n’y a aucune preuve spécifique permettant de vérifier si CNIIHM a effectivement développé (ou non) l’outil. Le CNIIHM dispose probablement de l’expertise institutionnelle nécessaire pour développer le prototype TRITON sur la base de la mission que l’institut a décrite et d’autres informations publiques.
Il est encore possible qu’un ou plusieurs employés de CNIIHM aient pu mener l’activité reliant TEMP.Veles à CNIIHM sans l’approbation de leur employeur. Cependant, ce scénario est hautement improbable.
Dans ce scénario, une ou plusieurs personnes – comprenant probablement au moins un employé de CNIIHM – auraient dû mener une vaste activité de développement de programmes malveillants et d’intrusion à partir de l’espace d’adressage de CNIIHM, sans la connaissance et l’approbation de CNIIHM. années. Les caractéristiques de CNIIHM correspondent à ce que nous pourrions attendre d’une organisation responsable de l’activité TEMP.Veles. TRITON est un cadre hautement spécialisé dont le développement serait à la portée d’un faible pourcentage d’opérateurs d’intrusion.