Schneider Exec sobre por qué Triton Malware sigue siendo importante

El año pasado, un misterioso grupo de ciberataques lanzó una campaña de malware, que Desde entonces ha llegado a ser conocido como Triton o Trisis, para sabotear el sistema de apagado de seguridad en una instalación en el Medio Oriente. El malware Triton, descubierto por la firma de ciberseguridad Dragos a mediados de noviembre de 2017, podría haber causado daños catastróficos, lo que podría causar la pérdida de vidas y una contaminación a gran escala. Sin embargo, el malware no logró su objetivo, ya que inadvertidamente desencadenó el procedimiento de apagado del sistema de emergencia del sistema de seguridad Triconex que buscaba suprimir, lo que ayudó a conducir a su descubrimiento.

Triton se convirtió así en una advertencia tangible de las amenazas de ciberseguridad que enfrentan las organizaciones industriales modernas. El colectivo de hackers detrás del ataque, al que Dragos denomina Xenotime, probablemente continuará "causando un evento potencial, futuro disruptivo, o incluso destructivo", según un artículo de Dragos. La empresa cibernética afirma que tiene una "confianza moderada" en esta posibilidad, al tiempo que señala que el ataque proporciona a otros ciberdelincuentes un plan para atacar los sistemas instrumentados de seguridad en general.

Si bien algunos fabricantes cuyos equipos han sido violados por piratas informáticos han rechazado, minimizado o incluso tratado de ocultar tales ataques a los público, Schneider Electric adoptó un enfoque opuesto. “Sabíamos que se iba a requerir un nivel de transparencia”, dijo Andrew Kling, director de ciberseguridad y arquitectura de sistemas de la empresa. “Una vez que se entendió la verdadera naturaleza del ataque, nos dimos cuenta de la naturaleza única de este y la gravedad de este tipo de ataque. Definitivamente sabíamos que este iba a ser un llamado a la acción para toda la industria ”, dijo Kling, quien recientemente escribió un artículo titulado Un año después de Triton:Construyendo una ciberresiliencia continua en toda la industria.

[ Cumbre de seguridad de IoT es la conferencia en la que aprende a proteger la pila completa de IoT, desde la nube hasta el perímetro y el hardware. Obtenga su boleto ahora. ]

Lo que distingue a Triton de la mayoría de malware es que es uno de los pocos tipos de malware que se dirigen específicamente a los sistemas de control industrial, y el primer malware conocido que se dirige a los sistemas instrumentados de seguridad. "Esto no fue solo una cosa de una sola vez en la que se atacó una versión heredada más antigua de un producto, sino que fue una especie de ataque en el que alguien sintió que atacar un sistema de seguridad era necesario para lograr su objetivo", dijo Kling. "Y tratar de enterrar nuestra cabeza en la arena simplemente no iba a ser un comportamiento aceptable".

¿Hasta qué punto cree que la gente del sector conoce Malware Triton ¿y la amenaza más amplia de ataques a los sistemas de seguridad industrial?

Andrew Kling :Esa es una gran pregunta. Como profesional de la ciberseguridad, creo que debería ser 100% absoluto. Todos deberían sentarse inmediatamente y tomar medidas para abordar la situación.

Hemos estado ejecutando un servicio de detección de malware para nuestros clientes de la línea de productos Triconex. Sabemos cuántos de estos controladores de seguridad Triconex hemos producido. Sabemos cómo detectar si este malware está presente en estos dispositivos. Y hemos ofrecido este servicio a todos nuestros clientes. Hemos tenido muchos clientes que ahora interactúan con nosotros para detectar si hay malware presente en sus dispositivos, y no hay indicadores adicionales de compromiso con otros sitios. Pero continuaremos ejecutando el programa porque creemos que este es un servicio importante para nuestros clientes. Me gustaría señalar que también es único. Como sé, este es el primer servicio que detecta malware en un dispositivo de seguridad como este directamente.

¿Qué papel cree que desempeña Schneider Electric para ayudar a educar a la industria sobre esta amenaza?

Kling: Este es un llamado a la acción, no solo para que nuestros clientes se pongan de pie y digan:"Oye, tenemos que prestar atención a nuestro sistema de seguridad tanto como a nuestros sistemas de control de procesos y sistemas comerciales". Pero es un llamado a la acción para los proveedores de servicios, proveedores de redes y fabricantes de equipos originales como nosotros.

Estoy en comités de estándares donde interactúo con mis pares en otras empresas y están de acuerdo en que esto es algo que es relevante para ellos. Schneider Electric fue el objetivo porque resulta que somos el sistema de seguridad que estaba en el lugar cuando este cliente fue atacado, pero podría haber sido fácilmente uno de nuestros competidores. Aprecian el hecho de que somos transparentes y les explicamos cómo se produjo el ataque y qué habilidades utilizaron contra este cliente en particular en este ataque.

¿Cuánto sabemos en este momento sobre los atacantes detrás del ataque?

Kling: Probablemente sepas tanto como yo.

En cuanto a la atribución, sabemos muy poco sobre quién puede ser. Ha habido mucha especulación y prensa sobre los estados nacionales. Recientemente, una compañía de malware ha especulado que quizás las habilidades sean menores de lo que se pensaba originalmente. Si bien no sé quiénes son los atacantes, sí sé que se requerían ciertas habilidades que no eran triviales. El atacante tendría que entender cómo funciona un sistema de seguridad como este y el procesador y los protocolos involucrados. En este ataque, el sistema de control distribuido se vio comprometido al igual que el sistema de control de procesos. Todas estas son habilidades que no encuentra de manera común. Alguien tenía que tener una motivación significativa para adquirir estas habilidades para llevar a cabo este ataque.

¿Entonces es probable que los atacantes tuvieran poca experiencia con este tipo de maquinaria?
Sí, o tenían una inteligencia amplia y pudieron adaptarse rápidamente.

Esto es especulación, pero es probable que tuvieran algún equipo. Pero su malware tenía varios errores, errores por cierto que tuvimos que corregir para descubrir qué se suponía que debía hacer el malware. Cuando se encontró uno de esos errores, activó el sistema de seguridad. El sistema hizo lo que se suponía que debía hacer y fue un indicador de que tal vez no tenían tanto equipo como pensábamos que tendrían. Y estaban usando el sitio para desarrollar el malware

Sabemos que el malware era un RAT instalado en la memoria. Tenían capacidades de lectura, escritura y ejecución, pero en realidad nunca recuperamos cuál sería la carga útil final para instalar en esa RAT.

¿Qué consejo daría a las organizaciones industriales que están preocupadas por el riesgo cibernético de sus instalaciones, pero no están seguras de cuáles deberían ser sus principales prioridades para defenderlas?

Por cierto, esa es una pregunta que me han hecho los gobiernos de todo el mundo a los clientes para que ahora presionen.

Y tengo una respuesta:como miembro del grupo de trabajo ISA99, producimos el estándar de ciberseguridad IEC 62443. Se trata de una familia de piezas que explica qué es un sistema de control de procesos seguro:desde los componentes hasta la red, el sistema, la entrega del sistema y el mantenimiento del sistema. Entonces, si usted es un cliente que está tratando de decir:"Voy a presentar una oferta para comprar un nuevo sistema de seguridad o un nuevo sistema de control de procesos para mi planta", debe comenzar diciendo en la especificación de las ofertas. Su producto debe estar certificado según este estándar. Hay cientos de años-hombre de profesionales de todo el planeta que se han incorporado a este estándar para definir qué significa la seguridad para el espacio de los sistemas de control de automatización industrial. Debe aprovechar todo el trabajo que se ha realizado allí y buscar productos que cumplan con ese estándar. Deben buscar productos que lo cumplan y sistemas que lo cumplan y organizaciones de entrega que lo cumplan. Y así es como pueden evitar tener que convertirse en doctores en ciberseguridad para comprender el campo. En cambio, pueden aprovechar a los doctores que han vertido su corazón y alma en el estándar.

También hay documentos que el gobierno de los EE. UU. Está produciendo a partir de NCCIC / ICS-CERT. Colaboramos con esas personas en estándares. La comunidad de ciberseguridad de OT es una comunidad muy unida. Nos conocemos y trabajamos juntos de forma regular.