Triton malware die gericht is op industriële installaties in het Midden-Oosten
De malware is ontworpen om te richten industriële systemen en kritische infrastructuur.
De Triton malware-aanval was verre van de eerste keer dat hackers hebben geprobeerd om de netwerken van een industrieel gebouw, maar het was de eerste keer dat het malware is ontworpen om de aanval van de veiligheid van systemen werd ooit in het wild gezien.
De malware is ontworpen om het manipuleren van Schneider Electric ‘ s Triconex Safety Instrumented System (SIS) controllers – noodstop-systemen – en werd ontdekt op het netwerk op een kritische infrastructuur operator in het Midden-Oosten.
De malware campagne was zeer goed en werd pas ontdekt omdat de aanvallers een fout gemaakt en dit leidde tot de veiligheid van het systeem, het afsluiten van de plant. De uitkomst zou kunnen hebben is veel erger.
“We kunnen speculeren dat hun missie is van een aantal lichamelijke gevolgen. Ze wilde stoppen met de productie bij deze faciliteit, stoppen dingen werken of kunnen leiden tot fysieke schade,” zegt Dan Caban, incident response manager bij FireEye is Mandiant.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Het spreken tijdens een sessie op Triton op de Nationale Cyber Security Centrum CYBERUK 19 conferentie, Caban betoogde dat het een geluk dat de malware werd ontdekt, waarschuwt de wereld om gevaarlijke cyber-aanvallen kunnen wijzigen of beschadiging fysieke systemen.
“We hadden het geluk dat dit ongeval gebeurde, het opende de deur voor mensen om te beginnen na te denken over deze fysieke gevolgen die kunnen hebben cybersecurity oorsprong – dat is hoe dit onderzoek begonnen en nu zo veel is gekomen om de openbare licht,” zegt hij.
Na het eerste punt van het compromis, de malware is in staat om technieken te gebruiken, zoals het oogsten van referenties en verplaatst over het netwerk te bereiken van de SIS-controllers.
Echter, Triton was alleen in staat om haar doel te bereiken door een aantal lakse houding om de veiligheid in de inrichting: de safety-controllers moeten zijn losgekoppeld van het netwerk, maar waren aangesloten op het internet geconfronteerd met operationele systemen, waardoor aanvallers om toegang te krijgen.
Andere storingen — als een toets wordt achtergelaten in een machine –, mits aanvallers met toegang moeten ze nooit hebben bereikt zonder fysiek te worden binnen de inrichting.
Terwijl de malware heeft de potentie om zeer schadelijk voor kleppen, schakelaars en sensoren in een industriële omgeving, de bedreiging kan worden tegengegaan door het implementeren van een aantal relatief eenvoudige cybersecurity technieken die beweging tussen systemen bijna onmogelijk.
“Netwerk segregatie kan u helpen voorkomen dat dit gebeurt. Je moet scheiden logisch, maar ook op basis van criticaliteit en door het volgen van de industrie beste praktijken en normen van de branche,” Caban wordt uitgelegd. “Je moet ook rekening houden met directionele gateways, zodat het niet mogelijk is om op een bepaalde manier.”
Organisaties kunnen ook een stap in de richting van dit door ervoor te zorgen dat er goed beleid rond cybersecurity en dat er veel informatie rond systemen voor medewerkers van alle niveaus om te begrijpen wat er gaande is – en wat te doen als er iets mis gaat.
“In een cyber context, is het absoluut noodzakelijk dat u governance; leiderschap van het hoogste niveau. Zonder een goede governance in uw organisatie, bent u waarschijnlijk mislukkingen,” zegt Victor Lough, hoofd van het BRITSE business van Schneider Electric.
“Voor cybersecurity, moet u rekening houden met de fysieke veiligheid omdat u overweegt kinetische systemen. En op de flip-side van dat, fysieke veiligheid moet altijd rekening houden met cybersecurity, zodat ze tegenover elkaar liggende zijden van dezelfde munt – zonder beveiliging wij hebben geen veiligheid,” zegt hij.
Er was eens een tijd dat de beveiliging van digitale systemen en de beveiliging van fysieke systemen zijn in staat om afzonderlijk te worden beschouwd, maar nu niet meer: in veel gevallen worden ze nu met één en dezelfde.
“Dit is de versmelting van de virtuele wereld en de fysieke beveiliging van de dingen die je kunt zetten paaltjes rond. U soort van zouden kunnen hebben in dit geval – ze liet de sleutel in en liet het in de programma-mode,” zegt Deborah Petterson, adjunct-directeur voor de kritieke nationale infrastructuur in het verenigd koninkrijk NCSC.
ZIE: Industroyer: Een diepgaande blik op de dader achter Oekraïne elektriciteitsnet blackout
In dit incident, in het besef dat de sleutel was in de machine zou gaan een lange weg om te voorkomen dat hackers toegang krijgen tot het gedrag van kwaadaardige activiteiten.
“Mensen weten waar hun veiligheid systemen zijn en hoe ze verbonden zijn – het is echt basic,” zei ze, wat suggereert dat degenen die deze systemen moeten regelmatig worden onderzoeken hoe de netwerken werken, en moeten houden de logboeken over updates – met name over gedateerde systemen zoals de industriële faciliteit werd uitgevoerd.
“De één in dit voorbeeld 15 jaar oud was – wanneer was de laatste keer dat je keek naar het risicomanagement rond dat? De churn in de veiligheid van mensen wordt één tot twee jaar met de ciso ‘ s. Wanneer was de laatste keer dat je afgestoft en gebruikt dit als een punt om te gaan kijken?” Petterson gevraagd.
Triton gerichte kritische infrastructuur in het Midden-Oosten, maar er zijn lessen te trekken uit het incident dat kan worden toegepast op organisaties in elke sector, ongeacht waar ze zijn in de wereld.
“Als je dit uit de context van de veiligheid van de systemen, kunt u bijna alle van hen naar een enterprise-systeem. Ze zijn van dezelfde soort controles wij vragen alleen een business te doen om zelf te maken cyber veilig,” zegt Dr. Ian Levy, technisch directeur bij het NCSC.
Het hacken van de groep achter Triton – die is gekoppeld aan Rusland – actief blijft, met onderzoekers van FireEye onlangs het bekendmaken van een nieuwe campagne gericht op een frisse kritische infrastructuur faciliteit.
Echter, met de tactiek van de groep nu in het publieke oog, is het mogelijk om de detectie van en bescherming tegen schadelijke activiteiten.
“Al deze backdoors, laterale beweging technieken en identificatie oogsten: ze kunnen worden gedetecteerd, is het mogelijk, we hebben geen hoop op te geven,” zei FireEye de Caban.
“Ze kunnen worden gedetecteerd in gedetecteerd tussen de IT en OT DMZ – dat zijn eenvoudige manieren om te beginnen op zoek.”
MEER OVER CYBERSECURITY
Ransomware: De belangrijkste les Maersk geleerd van die vechten tegen de NotPetya aanvalLights out: Hoe Crash Override hits elektriciteitsnetten – harde CNETCybersecurity: Deze gratis tool kunt u testen uw hacker verdedigingWaarom Triton malware ‘het spel’ van cyberwarfare TechRepublicWaarom is het zo moeilijk voor ons om aandacht te besteden aan cybersecurity?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters