Компания FireEye обнаружила совпадения имен пользователей, IP-адресов, кириллических имен и пометок в файлах вируса и данных ФГУП «Центральный научно-исследовательский институт химии и механики».
Американская компания FireEye, занимающаяся вопросами кибербезопасности, обнаружила связь между вирусом Triton, предназначенным для получения контроля над оборудованием крупных заводов, и московским ФГУП «Центральный научно-исследовательский институт химии и механики» (ЦНИИХМ). Доклад на эту тему компания опубликовала у себя на сайте.
Следы вируса Triton впервые обнаружили на нефтехимическом предприятии в Саудовской Аравии в декабре 2017 года. Исследователи FireEye проанализировали информацию о хакерах и пришли к выводу, что тестирование доставки вируса велось как минимум с 2014 года.
В тестовых файлах, которые изучили в FireEye, содержалось имя пользователя, используемое в других случаях профессором из ЦНИИХМ, а также общий IP-адрес между владельцами Triton и институтом, кириллические пометки и имена.
«У нас нет точных доказательств того, что код был (или не был) создан в ЦНИИХМ. Мы считаем, что ЦНИИХМ обладает достаточной компетентностью для разработки и тестирования Triton, исходя из описания миссии учреждения и прочей информации из открытых источников», — заявили в FireEye. В компании добавили, что допускают возможность разработки вируса отдельным сотрудником учреждения, но считают это маловероятным.