Malware Trisis descubierto en una instalación industrial adicional

Cuando los investigadores de ciberseguridad de Dragos y FireEye revelaron el llamado malware Triton apuntando a los sistemas de seguridad industrial, fue una especie de revelación. Triton marcó el primer descubrimiento de malware destinado a causar destrucción física. El código lo hizo apuntando a un sistema instrumentado de seguridad industrial, pero, afortunadamente, no fue efectivo para causar un desastre.

El ataque, también conocido como "Trisis", estuvo envuelto en un misterio hasta hace poco. Los primeros informes del ataque fueron vagos. Un actor del estado-nación probablemente estuvo detrás del ataque, que se produjo en algún lugar del Medio Oriente. Pero Triton también sirvió como una especie de llamada de atención debido a su potencial para causar una destrucción masiva en forma de emergencia en una planta de petróleo y gas.

“Estuve en el Medio Oriente aproximadamente una semana antes de que Triton llegara”, recuerda Jason Haward-Grau, CISO de PAS Global. En una conversación, Haward-Grau le preguntó a un director de seguridad de la compañía petrolera allí cómo se sentía sobre el nivel de ciberseguridad en la empresa. "Bueno, me dijo que no tenía que preocuparse por nada. Pensé:'Vaya, eres la única persona que he conocido en ciberseguridad que no se preocupa. No dejo de preocuparme. No puedo dormir ", continuó Haward-Grau. El profesional de ciberseguridad con sede en Medio Oriente continuó recitando las razones por las que podía dormir bien por la noche:“Estamos sin aire. Tenemos diodos de datos. Y si todo sale mal, tenemos un sistema SIS ”, dijo el director de seguridad, refiriéndose al sistema instrumentado de seguridad, que está diseñado para permitir que una operación industrial crítica falle de manera segura y elegante en caso de una emergencia.

[ Mundo de Internet de las cosas es la intersección de industrias e innovación de IoT. Reserve su pase de conferencia y ahorre $ 350, obtenga un pase de exposición gratuito o vea el Altavoces de seguridad de IoT en el evento.]

Una semana después, llegó Trisis, lo que llevó al profesional de ciberseguridad a llamar a Haward-Grau. “Me llamó y me dijo:‘ Escuche, ya sabe, cómo dije que teníamos tres enfoques centrales para la ciberseguridad. Estoy un poco nervioso ahora que es posible que no tengamos los tres ".

Si bien Trisis provocó ondas de choque en el campo de la ciberseguridad industrial en los meses posteriores a su descubrimiento, los detalles sobre el malware fueron escasos. Ahora, está surgiendo una imagen más clara del ataque. La firma de ciberseguridad FireEye confirmó el 10 de abril que descubrió un ataque adicional en una instalación de infraestructura crítica separada. El año pasado, la compañía de ciberseguridad también anunció que creía que el ataque tenía raíces rusas.

“Para la mayoría de los propietarios y operadores, no importa si Rusia estaba detrás o un grupo hacktivista”, dijo Emily S. Miller, directora de seguridad nacional y programas de infraestructura crítica en Mocana. “Lo que importa es si pueden hacer que sucedan cosas malas. Y cuando se trata de infraestructura crítica, eso significa la pérdida de vidas ".

FireEye ha desarrollado una imagen más clara de la mecánica de Triton, que aprovechó docenas de herramientas de intrusión personalizadas y de productos básicos. Por ejemplo, SecHack se utilizó para la recolección de credenciales, mientras que Cryptcat, Bitvise, OpenSSH y PLINK crearon puertas traseras. Las herramientas personalizadas probablemente ayudaron a los atacantes a eludir las protecciones de ciberseguridad.

El impacto de un ataque exitoso en un objetivo SIS podría ser significativo. “Un mal actor puede cerrar un proceso [destinado a salvaguardar una instalación industrial en una emergencia] manipulando la configuración de un sistema de seguridad”, dijo Eddie Habibi, director ejecutivo de PAS Global en un comunicado por correo electrónico. "Sin embargo, el peligro real radica en si el atacante se infiltra en otros sistemas ICS dentro de la misma instalación que el sistema de seguridad", continuó. Si eso sucede, un adversario puede sentar las bases para un desastre modificando los procesos industriales para exceder los límites operativos seguros, lo que podría causar destrucción física, lesiones y muerte, y contaminación. En la instalación donde se identificó por primera vez el malware, Triton podría haber interferido con el funcionamiento de un sistema de gestión de quemadores, lo que podría haber provocado la liberación de gas sulfuro de hidrógeno.

Triton, que apuntó a equipos de Schneider Electric, también podría inspirar ataques de imitación que tienen como objetivo no solo robar datos confidenciales, sino también causar destrucción física y posibles pérdidas de vidas. "Creo que hemos visto la catalización de ataques similares", dijo Miller. Y el ataque proporciona no solo un plan para los ataques en el sector del petróleo y el gas, que supuestamente fue el objetivo del primer ataque Trisis anunciado, sino cualquier tipo de infraestructura crítica, incluidos los sistemas de automatización de edificios. "Mire Black Energy", dijo Miller, refiriéndose al malware que jugó un papel en el cierre de parte de la red eléctrica en Ucrania. “Cuando llegó, era totalmente nuevo y novedoso. Ahora, es algo que puedes comprar en la web oscura ". Los adversarios que desarrollan ataques tan peligrosos podrían compartir sus tácticas con piratas informáticos de ideas afines en línea, similar a los cocineros que minan recetas en línea, dijo Miller.

El potencial de un mayor respaldo de los Estados-nación a tales ataques también es preocupante. "Con la generación actual de sistemas de tecnología operativa (OT), un problema de ciberseguridad absoluto es un problema de seguridad absoluto", dijo John Sheehy, vicepresidente de servicios estratégicos de IOActive en un comunicado por correo electrónico. Desde entonces, Schneider ha lanzado una campaña educativa para transformar Triton en un "llamado a la acción" para la industria, dijo Andrew Kling, director de ciberseguridad y arquitectura de sistemas en Schneider Electric, en una entrevista el año pasado.

Los investigadores de FireEye creen que los estados-nación podrían estar aumentando ese tipo de malware para respaldar operaciones de contingencia en lugar de lanzar ataques destructivos de inmediato. Configurar y potencialmente orquestar un ataque como Trisis probablemente requiera años de planificación e inversión de tiempo por parte de los actores de amenazas, que trabajan para garantizar que tengan acceso continuo al entorno de su objetivo. El equipo de investigación de FireEye cree que el adversario tardó casi un año en ampliar el acceso desde la red de su objetivo a una estación de trabajo de ingeniería SIS. Mientras tanto, el atacante trabajó cuidadosamente para ocultar sus pistas, por ejemplo, cambiando el nombre de los archivos de malware ejecutables para que se parezcan a los archivos de actualización de Microsoft. FireEye cree que los atacantes detrás de Trisis han estado activos desde al menos 2014.

John Sheehy, vicepresidente de servicios estratégicos de IOActive y Miller a dijeron que el malware Triton también debería servir como un impulso para crear protecciones de ciberseguridad holísticas en entornos industriales, en lugar de centrarse predominantemente en medidas defensivas como el monitoreo de redes y la búsqueda de amenazas. Sheehy también hizo hincapié en la importancia de incorporar protecciones de seguridad física en entornos industriales que podrían ayudar a mitigar un ciberataque exitoso orientado a la seguridad. “Siempre que sea posible, los diseñadores deben utilizar controles de seguridad ortogonales, como válvulas de alivio de presión mecánicas o reguladores mecánicos, que no tienen coincidencia con los sistemas de control y, por lo tanto, no pueden verse afectados por ellos”, dijo Sheehy. “Las implementaciones de OT de hoy deben enfocarse en administrar las consecuencias de un ataque de ciberseguridad a través de protecciones y mitigaciones en capas utilizando controles de ingeniería que no son de ciberseguridad. Esto debe hacerse con un enfoque en proporcionar resistencia operativa al proceso y las operaciones en general ".

"Vayamos a la causa raíz del impacto aquí:necesitamos fortalecer e integrar la seguridad en estos dispositivos ICS desde el principio", dijo Miller en un comunicado por correo electrónico. "Hasta que hagamos eso, continuaremos dejándonos como presa fácil para ataques de infraestructura aún más críticos como este".