Schneider Exec о том, почему вредоносное ПО Triton все еще имеет значение

В прошлом году таинственная группа кибератак запустила кампанию по вредоносному ПО, которая с тех пор стал известен как Triton или Trisis, чтобы саботировать систему аварийного отключения на объекте на Ближнем Востоке. Вредоносное ПО Triton, обнаруженное фирмой по кибербезопасности Dragos в середине ноября 2017 года, могло нанести катастрофический ущерб - потенциально привести к гибели людей и широкомасштабному загрязнению. Однако вредоносная программа не достигла своей цели, поскольку непреднамеренно запустила процедуру аварийного отключения системы безопасности Triconex, которую она стремилась подавить, что помогло ее обнаружить.

Таким образом, Triton стал осязаемым предупреждением об угрозах кибербезопасности, с которыми сталкиваются современные промышленные организации. Коллектив хакеров, стоящий за атакой, которую Драгос называет Xenotime, вероятно, продолжит «вызывать потенциальное, разрушительное - или даже разрушительное - событие в будущем», согласно статье Драгоса. Кибернетическая фирма заявляет, что имеет «умеренную уверенность» в такой возможности, но при этом отмечает, что атака дает другим киберпреступникам план для нацеливания на автоматизированные системы безопасности в целом.

Хотя некоторые производители, чье оборудование было взломано хакерами, отклоняли, преуменьшали значение или даже пытались скрыть такие атаки от общественности, Schneider Electric придерживается противоположного подхода. «Мы знали, что существует необходимый уровень прозрачности», - сказал Эндрю Клинг, директор по кибербезопасности и системной архитектуре компании. «Как только мы поняли истинную природу нападения, мы осознали его уникальный характер и серьезность такого нападения. Мы определенно знали, что это будет призывом к действию для всей отрасли », - сказал Клинг, недавно написавший статью под названием« Год спустя после Тритона:постоянное развитие киберустойчивости в масштабах всей отрасли ».

[ Саммит по безопасности Интернета вещей - это конференция, на которой вы научитесь защищать весь стек IoT, от облака до периферии и оборудования. Получите билет прямо сейчас. ]

Что отличает Triton от большинства вредоносных программ, так это то, что это один из немногих типов вредоносных программ, специально нацеленных на промышленные системы управления, и первое известное вредоносное ПО, нацеленное на автоматизированные системы безопасности. «Это была не единовременная атака на более старую устаревшую версию продукта, это была своего рода атака, когда кто-то чувствовал, что атака на систему безопасности необходима для достижения своей цели», - сказал Клинг. «И пытаться зарыться головой в песок просто было неприемлемым поведением».

Насколько, по вашему мнению, люди в отрасли осведомлены о Вредоносное ПО Triton и более широкая угроза атак на системы промышленной безопасности?

Эндрю Клинг :Отличный вопрос. Как профессионал в области кибербезопасности, я считаю, что это должно быть стопроцентным и абсолютным. Все должны немедленно сесть и принять меры, чтобы исправить ситуацию.

Мы запустили службу обнаружения вредоносных программ для наших клиентов линейки продуктов Triconex. Мы знаем, сколько контроллеров безопасности Triconex мы произвели. Мы знаем, как определить, присутствует ли эта вредоносная программа на этих устройствах. И мы предложили эту услугу всем нашим клиентам. У нас было много клиентов, которые теперь обращаются к нам, чтобы определить, присутствует ли вредоносное ПО на их устройствах, и нет никаких дополнительных индикаторов взлома каких-либо других сайтов. Но мы продолжим запускать программу, потому что считаем, что это важная услуга для наших клиентов. Отмечу, что это тоже уникальное. Насколько мне известно, это первая служба, которая напрямую обнаруживает вредоносное ПО в таком устройстве безопасности.

Какую роль, по вашему мнению, Schneider Electric играет в информировании отрасли об этой угрозе?

Клинг: Это призыв к действию, а не только к нашим клиентам, чтобы они встали и сказали:«Эй, мы должны уделять внимание нашей системе безопасности так же, как мы уделяем внимание нашим системам управления процессами и бизнес-системам». Но это призыв к действию для поставщиков услуг, сетевых поставщиков и таких же OEM-производителей, как мы.

Я вхожу в комитеты по стандартам, где общаюсь со своими коллегами из других компаний, и они согласны с тем, что для них это актуально. Schneider Electric была целью, потому что мы являемся системой безопасности, которая была на месте, когда этот заказчик подвергся атаке, но с такой же легкостью она могла быть одним из наших конкурентов. Они ценят тот факт, что мы прозрачны, и мы объясняем, как произошла атака и какие навыки они использовали против этого конкретного клиента в этой атаке.

Что мы знаем на данный момент о злоумышленниках, стоящих за атакой?

Клинг: Вы, наверное, знаете не меньше меня.

Что касается атрибуции, мы очень мало знаем о том, кто это может быть. О национальных государствах ходит много спекуляций и прессы. Недавно одна компания, занимающаяся вредоносным ПО, предположила, что, возможно, у них меньше навыков, чем предполагалось изначально. Хотя я не знаю, кто нападавшие, я знаю, что требовались определенные навыки, которые были нетривиальными. Злоумышленник должен понимать, как работает подобная система безопасности, а также задействованный процессор и протоколы. В ходе этой атаки была скомпрометирована распределенная система управления, как и система управления процессами. Это все навыки, которые вы не найдете в общих чертах. У кого-то должна быть значительная мотивация для приобретения этих навыков для проведения этой атаки.

Так вероятно, что злоумышленники имели ограниченный опыт работы с подобным оборудованием?
Да, или они обладали широким интеллектом и могли быстро адаптироваться.

Это предположение, но вполне вероятно, что у них было какое-то оборудование. Но в их вредоносной программе было несколько ошибок - кстати, ошибки, которые нам пришлось исправить, чтобы на самом деле выяснить, что эта вредоносная программа должна была делать. Когда обнаруживалась одна из этих ошибок, срабатывала система безопасности. Система делала то, что должна была делать, и была показателем того, что у них, возможно, не было такого количества оборудования, как мы могли подумать. И они использовали этот сайт для разработки вредоносного ПО.

Мы знаем, что вредоносное ПО было RAT, установленным в память. У них были возможности чтения-записи-выполнения, но мы так и не смогли восстановить, какую конечную полезную нагрузку нужно будет установить в эту RAT?

Что вы посоветуете промышленным организациям, которые обеспокоены киберрисками для своих предприятий, но не уверены в своих главных приоритетах при их защите?

Кстати, об этом меня спрашивают правительства по всему миру, чтобы я мог нажать на них.

И у меня есть ответ:как член рабочей группы ISA99 мы разрабатываем стандарт кибербезопасности IEC 62443. Это семейство частей, которое объясняет, что такое безопасная система управления процессом:от компонентов до сети и системы до доставки системы и обслуживания системы. Поэтому, если вы являетесь клиентом, который пытается сказать:«Я выставляю заявку на покупку новой системы безопасности или новой системы управления технологическим процессом для своего завода», вам следует начать с указания в их спецификации заявок. Ваш продукт должен быть сертифицирован по этому стандарту. Сотни человеко-лет профессионалов со всего мира были вложены в этот стандарт, чтобы определить, что означает безопасность для систем управления промышленной автоматикой. Вам следует использовать всю проделанную здесь работу и искать продукты, соответствующие этому стандарту. Им следует искать продукты, соответствующие ему, системы, которые ему соответствуют, и организации-поставщики, которые ему соответствуют. И вот как они могут избежать необходимости становиться докторами наук в области кибербезопасности, чтобы разбираться в этой области. Вместо этого они могут использовать кандидатов наук, которые вложили свои сердца и души в этот стандарт.

Есть также документы, которые правительство США выпускает из NCCIC / ICS-CERT. Мы сотрудничаем с этими людьми по вопросам стандартов. Сообщество кибербезопасности OT - это сплоченное сообщество. Мы знаем друг друга и регулярно работаем.