Тризисное вредоносное ПО обнаружено на дополнительном производственном объекте

Когда исследователи кибербезопасности из Dragos и FireEye раскрыли так называемое вредоносное ПО Triton в отношении систем промышленной безопасности это было чем-то вроде откровения. Компания Triton отметила первое открытие вредоносного ПО, предназначенного для физического уничтожения. Код сделал это, нацелившись на автоматизированную систему промышленной безопасности, но, к счастью, не смог вызвать катастрофу.

Атака, известная также как «Тризис», до недавнего времени была окутана тайной. Ранние сообщения об атаке были расплывчатыми. Скорее всего, за атакой, которая произошла где-то на Ближнем Востоке, стояло государство-субъект. Но Triton также послужил чем-то вроде тревожного звонка из-за его способности вызвать массовые разрушения в виде аварийной ситуации на нефтегазовом заводе.

«Я был на Ближнем Востоке примерно за неделю до появления Triton», - вспоминает Джейсон Хавард-Грау, директор по информационной безопасности PAS Global. В разговоре Хавард-Грау спросил директора по безопасности нефтяной компании, что он думает об уровне кибербезопасности в компании. «Ну, он сказал мне, что ему не о чем беспокоиться. Я подумал:«Ого, ты единственный человек, которого я встречал в сфере кибербезопасности, который не беспокоится. Я не перестаю волноваться. Я не могу спать, - продолжил Хавард-Грау. Специалист по кибербезопасности из Ближнего Востока рассказал о причинах, по которым он может хорошо спать по ночам:«У нас есть воздушный зазор. У нас есть информационные диоды. А если все пойдет не так, у нас есть система SIS », - сказал директор по безопасности, имея в виду автоматизированную систему безопасности, которая предназначена для обеспечения безопасного и корректного выхода из строя критически важных промышленных операций в случае возникновения чрезвычайной ситуации.

[ Мир Интернета вещей - это пересечение отраслей и инноваций Интернета вещей. Забронируйте абонемент на конференцию и сэкономьте 350 долларов, получите бесплатный пропуск на выставку или просмотрите Динамики безопасности Интернета вещей на мероприятии.]

Неделю спустя произошел инцидент с Trisis, который побудил специалиста по кибербезопасности позвонить Хавар-Грау. «Он позвонил мне и сказал:« Послушайте, вы знаете, как я сказал, что у нас есть три основных подхода к кибербезопасности. Я немного нервничаю, потому что у нас может не быть всех трех ».

Хотя Trisis вызвал потрясение в области промышленной кибербезопасности в течение нескольких месяцев после его обнаружения, подробностей, связанных с вредоносным ПО, было скудно. Теперь картина атаки вырисовывается более отчетливо. Фирма по кибербезопасности FireEye подтвердила 10 апреля, что обнаружила дополнительную атаку на отдельном критически важном объекте инфраструктуры. В прошлом году компания, занимающаяся кибербезопасностью, также заявила, что, по ее мнению, атака имеет российские корни.

«Для большинства владельцев и операторов не имеет значения, стоит ли за этим Россия или группа хактивистов, - сказала Эмили Миллер, директор программ национальной безопасности и критической инфраструктуры в Mocana. «Важно то, могут ли они стать причиной плохих вещей. А когда дело доходит до критически важной инфраструктуры, это означает гибель людей ».

FireEye разработала более четкое представление о механизме Triton, в котором использовались десятки стандартных и пользовательских инструментов для вторжений. Например, SecHack использовался для сбора учетных данных, в то время как Cryptcat, Bitvise, OpenSSH и PLINK создавали бэкдоры. Пользовательские инструменты, вероятно, помогли злоумышленникам обойти защиту кибербезопасности.

Влияние успешной атаки на цель SIS может быть значительным. «Злоумышленник может остановить процесс [предназначенный для защиты промышленного объекта в чрезвычайной ситуации], манипулируя конфигурацией системы безопасности», - сказал Эдди Хабиби, генеральный директор PAS Global в электронном письме. «Однако реальная опасность заключается в том, что злоумышленник проникает в другие системы АСУ ТП на том же объекте, что и система безопасности», - продолжил он. Если это произойдет, злоумышленник может заложить основу для бедствия, изменив производственные процессы, чтобы превысить безопасные рабочие пределы, что потенциально может вызвать физические разрушения, травмы и смерть, а также загрязнение окружающей среды. На объекте, где впервые была обнаружена вредоносная программа, Triton мог вмешаться в работу системы управления горелкой, потенциально вызвав выброс сероводорода.

Triton, нацеленный на оборудование от Schneider Electric, также может спровоцировать атаки подражателей, которые направлены не только на кражу конфиденциальных данных, но и на физическое разрушение и возможную гибель людей. «Я думаю, что мы видели катализатор подобных атак», - сказал Миллер. И эта атака представляет собой не только план атак на нефтегазовый сектор, который якобы стал целью первой анонсированной атаки Trisis, но и любой тип критически важной инфраструктуры, включая системы автоматизации зданий. «Посмотрите на Black Energy», - сказал Миллер, имея в виду вредоносное ПО, которое сыграло роль в отключении части энергосистемы Украины. «Когда он появился, он был совершенно новым и новым. Теперь это то, что вы можете купить в даркнете ». По словам Миллера, злоумышленники, которые разрабатывают такие опасные атаки, могут поделиться своей тактикой с хакерами-единомышленниками в Интернете, подобно тому, как повара используют рецепты в Интернете.

Также вызывает беспокойство возможность дальнейшей поддержки таких атак национальными государствами. «С текущим поколением систем операционных технологий (OT) явная проблема кибербезопасности является явной проблемой безопасности», - сказал Джон Шихи, вице-президент по стратегическим услугам IOActive в электронном письме. С тех пор Schneider запустил образовательную кампанию, чтобы превратить Triton в «призыв к действию» для отрасли, сказал в интервью в прошлом году Эндрю Клинг, директор по кибербезопасности и системной архитектуре Schneider Electric.

Исследователи FireEye полагают, что государства могут наращивать количество таких вредоносных программ для поддержки действий в чрезвычайных ситуациях, а не для немедленных разрушительных атак. Создание и потенциальная организация атаки, такой как Trisis, вероятно, потребует многих лет планирования и затрат времени со стороны злоумышленников, которые работают над тем, чтобы у них был постоянный доступ к среде своей цели. Исследовательская группа FireEye считает, что злоумышленнику потребовался почти год, чтобы расширить доступ из своей целевой сети к рабочей станции SIS. Тем временем злоумышленник тщательно постарался скрыть свои следы, например, переименовав исполняемые файлы вредоносных программ, чтобы они выглядели как файлы обновлений Microsoft. FireEye считает, что злоумышленники, стоящие за Trisis, активны как минимум с 2014 года.

Джон Шихи, вице-президент по стратегическим услугам в IOActive и Миллер a, сказал, что вредоносное ПО Triton должно также послужить стимулом для внедрения целостных средств защиты кибербезопасности в промышленных средах, а не сосредоточиваться преимущественно на защитных мерах, таких как мониторинг сети и поиск угроз. Шихи также подчеркнул важность встраивания средств физической защиты в промышленную среду, которые могли бы помочь смягчить успешную, ориентированную на безопасность кибератаку. «По возможности, проектировщики должны использовать ортогональные средства управления безопасностью, такие как механические предохранительные клапаны или механические регуляторы, которые не совпадают с системами управления и, следовательно, не могут быть затронуты ими», - сказал Шихи. «Сегодняшние реализации OT должны быть сосредоточены на управлении последствиями атаки кибербезопасности посредством многоуровневой защиты и смягчения последствий с использованием технических средств управления, не связанных с кибербезопасностью. Это должно быть сделано с упором на обеспечение эксплуатационной отказоустойчивости процесса и операций в целом ».

«Давайте рассмотрим основную причину воздействия:нам нужно с самого начала усилить и встроить безопасность в эти устройства ICS», - сказал Миллер в своем электронном письме. «Пока мы этого не сделаем, мы продолжим покидать себя, как сидящие утки, для еще более серьезных атак на инфраструктуру, таких как эта».