트리톤(Triton)이라는 이름의 멀웨어가 중동의 산업 제어 시스템을 공격했다. 공격자는 이름이 알려지지 않은 회사를 공격하기 위해 악성 코드를 심었다. 이 공격은 물리적 손상을 발생시키고 시스템 작동이 중단되도록 설계됐다고 보안 연구원이 밝혔다.

트리톤은 트리코넥스 안정성 기구 시스템(Triconex Safety Instrumented System, 트리코넥스 SIS)과 상호 작용하도록 제작된 멀웨어다. 트리코넥스 SIS는 석유 및 가스, 전력, 화학 제품 및 제약 산업과 같은 많은 산업 분야의 안전 및 중요 제어 응용 프로그램용 솔루션으로 만들어졌다. 트리톤 멀웨어는 안전 제어 시스템 실행을 막아 산업 제어 시스템을 무력화하는 악의적인 소프트웨어다. 공격이 발생하면 시스템이 물리적 손상을 입을 수 있다.

이번 사건에서는 SIS 엔지니어링 워크스테이션에 원격 액세스를 통해 맬웨어가 시스템에 삽입됐다. 해당 멀웨어는 제어 시스템을 다시 프로그래밍하고 산업 프로세스를 중단했다. 중요한 시스템을 파괴하려는 이런 형태의 공격은 이란, 북한, 러시아, 미국, 이스라엘 등지의 해커들이 사용한 바 있다.

보안 연구원은 "2010년 이란을 공격한 스턱스넷(Stuxnet)이나 2016년 우크라이나를 공격한 인더스트로이어(Industroyer)에 이은 공격이다"라고 설명했다.

사이버 보안 회사 파이어아이(FireEye)는 프로세스 제어 및 정보 시스템에서 안전 시스템을 분리하고, 서버에 대한 엄격한 액세스 제어를 실행해 액세스 허용 목록을 작성하고, USB 및 랩톱과 같은 장치를 네트워크에 연결하기 전에 디바이스를 스캐닝해야 한다고 트리톤 멀웨어 공격을 막기 위한 몇 가지 방법을 권장했다.