Американская компания FireEye, занимающаяся вопросами компьютерной безопасности, проследила связь между вредоносным кодом Triton для получения контроля над промышленным оборудованием при кибератаках и московским ФГУП «Центральный научно-исследовательский институт химии и механики». Доклад на эту тему опубликован на сайте компании.

О семействе вирусов Triton (он же Trisis) хакерской группы TEMP.Veles, предназначенном для получения контроля над оборудованием на крупных заводах, стало известно после обнаружения его следов на нефтехимическом предприятии в Саудовской Аравии в декабре прошлого года. Исследователи из FireEye постепенно изучали информацию о хакерах и в итоге пришли к выводу, что они тестировали средства доставки вредоносного кода по крайней мере с 2014 года.

Тестовые файлы, проанализированные сотрудниками FireEye, содержали имя пользователя, которое также использовал в других случаях профессор из ЦНИИХМ. Также в FireEye обнаружили общий IP-адрес между владельцами Triton и ЦНИИХМ, кириллические имена и пометки.

«Хотя мы знаем, что TEMP.Veles причастны к запуску Triton, у нас нет четких доказательств того, что код был (или не был) создан в ЦНИИХМ, — отмечают исследователи. — Мы считаем, что ЦНИИХМ обладает достаточной компетентностью для разработки и тестирования Triton, исходя из описания миссии учреждения и прочей информации из открытых источников». В FireEye добавляют, что допускают возможность разработки вируса отдельным сотрудником, однако считают это маловероятным.