Атаки на промышленные системы управления (ICS или АСУ ТП) нечасто светятся в сводках новостей, особенно если эти новости не касаются отрасли информационной безопасности. Безусловно, самая громкая и самая разрушительная из таких атак – Stuxnet – широко известна публике, поскольку вызвала международный скандал.
Напомним, что в 2010 году израильские и американские спецслужбы развернули кибероперацию с использованием вредоноса Stuxnet, чтобы поломать иранские центрифуги по обогащению урана, которые были задействованы в ядерной программе. Тогда содействие своим израильским коллегам оказали хакеры из группы Equation, работающей в структуре американской АНБ.
Но это не единственная атака на ICS, хотя и самая известная.
Сегодня мы хотим сделать небольшой обзор другой кампании по компрометации промышленных систем управления, которая получила название Triton или Trisis.
В конце 2017 года американские инфосек компании FireEye и Dragos сообщили о выявленной кампании по развертыванию неизвестной хакерской группой вредоносного ПО, которое американцы назвали Triton. Malware было предназначено для атак на контроллер Triconex Safety Instrumented System (SIS), работающий под Microsoft Windows.
Triconex – это бренд компании Schneider Electric, под которым выпускаются системы контроля турбинной машинерии. Всего в мире на данный момент работает более 11 тыс. промышленных устройств под управлением Triconex. Сам SIS представляет собой автономную систему управления и контроля безопасности производственного процесса.
В ноябре 2017 года неизвестные хакеры получили доступ к рабочей станции SIS одного из нефтехимических предприятий Саудовской Аравии и развернули вредоносное ПО Triton для перепрограммирования контроллеров SIS. В этот момент часть контроллеров упала в безопасный режим из-за несоответствия подлинности некоторых из кодов приложений, что автоматически остановило производственный процесс и побудило службу безопасности начать расследование инцидента.
Вряд ли злоумышленники планировали прерывать производство в момент внедрения Triton, целью скорее всего являлось создание спящего бэкдора, который позволит в необходимый момент получить контроль над SIS.
Расследование показало, что Triton готовился именно под атаку Triconex SIS – в частности, malware использовало проприетарный протокол TriStation, публичная документация которого отсутствовала. Вероятно, хакеры при написании вредоноса использовали имеющийся в распоряжение контроллер SIS. Атака была не масштабируема, в силу чего, скорее всего, была разработана под конкретное предприятие/группу похожих предприятий.
Анализ возможностей Triton показал, что он был предназначен не только для нанесения ущерба промышленной системе управления через Triconex SIS, но и для сбора закрытой информации, циркулирующей внутри нее. Также вредонос пытался поддерживать штатный режим работы SIS (что в итоге ему не удалось), чтобы не вызывать к себе преждевременный интерес и обладал механизмом самоудаления и очистки следов своего пребывания в системе.
Кто стоит за атакой так точно и не было выяснено. Исследователи однозначно указывали на принадлежность атакующих прогосударственной хакерской группе, но конкретную страну так и не назвали.
Атака Triton стала пятой известной атакой на промышленные системы управления после Stuxnet, Havex, BlackEnergy2 и CRASHOVERRIDE.
#Triton
Совпадение? 😏
послушали
darknetdiaries.com/episode/68/ и написали пост?
