Schneider Exec sobre Por que o malware Triton ainda é importante

No ano passado, um misterioso grupo de ciberataques lançou uma campanha de malware, que desde então, passou a ser conhecido como Triton ou Trisis, para sabotar o sistema de desligamento de segurança em uma instalação no Oriente Médio. O malware Triton, descoberto pela empresa de segurança cibernética Dragos em meados de novembro de 2017, pode ter causado danos catastróficos - potencialmente causando perda de vidas e poluição em larga escala. O malware, no entanto, não atingiu seu objetivo, pois inadvertidamente acionou o procedimento de desligamento de emergência do sistema de segurança Triconex que procurava suprimir, ajudando a levar à sua descoberta.

O Triton tornou-se, portanto, um aviso tangível das ameaças à segurança cibernética que as organizações industriais modernas enfrentam. O coletivo de hackers por trás do ataque, que Dragos chama de Xenotime, provavelmente continuará “a causar um evento potencial e futuro perturbador - ou mesmo destrutivo -”, de acordo com um artigo do Dragos. A empresa cibernética afirma ter “confiança moderada” nessa possibilidade, ao mesmo tempo que observa que o ataque fornece a outros cibercriminosos um plano para almejar sistemas instrumentados de segurança em geral.

Embora alguns fabricantes cujos equipamentos tenham sido violados por hackers tenham rejeitado, minimizado ou até mesmo procurado ocultar tais ataques do público, a Schneider Electric adotou uma abordagem oposta. “Sabíamos que seria necessário um nível de transparência”, disse Andrew Kling, diretor de segurança cibernética e arquitetura de sistema da empresa. “Uma vez que a verdadeira natureza do ataque foi compreendida, percebemos a natureza única dele e a gravidade desse tipo de ataque. Definitivamente sabíamos que esse seria um chamado à ação para toda a indústria ”, disse Kling, que escreveu recentemente um artigo intitulado Um ano após a Triton:construindo resiliência cibernética contínua em toda a indústria.

[ IoT Security Summit é a conferência onde você aprende a proteger a pilha IoT completa, da nuvem à borda e ao hardware. Compre seu ingresso agora. ]

O que diferencia o Triton da maioria dos malwares é que ele é um dos vários tipos de malware que visam especificamente sistemas de controle industrial e o primeiro malware conhecido que visa sistemas instrumentados de segurança. “Não foi apenas uma coisa única em que uma versão mais antiga de um produto foi atacada, mas foi um tipo de ataque em que alguém sentiu que atacar um sistema de segurança era necessário para atingir seu objetivo”, disse Kling. “E tentar enterrar a cabeça na areia simplesmente não seria um comportamento aceitável.”

Até que ponto você acha que as pessoas da indústria estão cientes disso Malware Triton e a ameaça mais ampla de ataques aos sistemas de segurança industrial?

Andrew Kling :Essa é uma ótima pergunta. Como profissional de segurança cibernética, acho que deve ser 100 por cento e absoluto. Todos devem se sentar imediatamente e agir para resolver a situação.

Temos executado um serviço de detecção de malware para nossos clientes da linha de produtos Triconex. Nós sabemos quantos desses controladores de segurança Triconex já produzimos. Sabemos como detectar se esse malware está presente nesses dispositivos. E oferecemos esse serviço a todos os nossos clientes. Muitos clientes interagem conosco para detectar se há malware em seus dispositivos e não há indicadores adicionais de comprometimento de outros sites. Mas continuaremos a executar o programa porque acreditamos que este é um serviço importante para nossos clientes. Gostaria de salientar que também é único. Como eu sei, este é o primeiro serviço a detectar malware em um dispositivo de segurança como este diretamente.

Que papel você vê a Schneider Electric desempenhando para ajudar a educar a indústria sobre essa ameaça?

Kling: Este é um apelo à ação, não apenas para que nossos clientes se levantem e digam:“Ei, temos que prestar atenção ao nosso sistema de segurança tanto quanto prestamos atenção aos nossos sistemas de controle de processo e sistemas de negócios.” Mas é uma chamada à ação para provedores de serviços, provedores de rede e OEMs como nós.

Estou em comitês de padrões onde interajo com meus colegas em outras empresas e eles concordam que isso é algo relevante para eles. A Schneider Electric foi o alvo porque, por acaso, éramos o sistema de segurança que estava no local quando esse cliente foi atacado, mas poderia facilmente ter sido um de nossos concorrentes. Eles apreciam o fato de sermos transparentes e estarmos explicando como o ataque ocorreu e quais habilidades eles usaram contra esse cliente específico neste ataque.



Quanto sabemos neste momento sobre os invasores por trás do ataque?

Kling: Você provavelmente sabe tanto quanto eu.

No que diz respeito à atribuição, sabemos muito pouco sobre quem pode ser. Tem havido muita especulação e imprensa sobre os estados-nação. Recentemente, houve uma empresa de malware que especulou que talvez as habilidades sejam menores do que se pensava originalmente. Embora eu não saiba quem são os invasores, sei que certas habilidades necessárias não são triviais. O invasor precisa entender como funciona um sistema de segurança como esse e o processador e os protocolos envolvidos. Neste ataque, o sistema de controle distribuído foi comprometido, assim como o sistema de controle de processo. Todas essas são habilidades que você não encontra de uma maneira comum. Alguém precisava ter uma motivação significativa para adquirir essas habilidades para realizar esse ataque.

Então, é provável que os invasores tenham pouca experiência com este tipo de maquinário?
Sim, ou eles tinham ampla inteligência e foram capazes de se adaptar rapidamente.

Isso é especulação, mas é provável que eles tivessem algum equipamento. Mas o malware deles tinha vários bugs - bugs pela maneira que tivemos que consertar para realmente descobrir o que o malware deveria fazer. Quando um desses bugs foi encontrado, ele desarmou o sistema de segurança. O sistema fez o que deveria fazer e foi um indicador de que eles talvez não tivessem tantos equipamentos quanto poderíamos ter pensado que teriam. E eles estavam usando o site para desenvolver o malware

Sabemos que o malware era um RAT instalado na memória. Eles tinham recursos de leitura-gravação-execução, mas nunca realmente recuperamos qual carga útil final seria para instalar naquele RAT?


Que conselho você daria para organizações industriais que estão preocupadas com o risco cibernético para suas instalações, mas incertas sobre quais devem ser suas principais prioridades ao defendê-las?

Essa é uma pergunta pela maneira como tenho sido questionado por governos em todo o mundo para que os clientes agora pressionem.

E eu tenho uma resposta:como membro do grupo de trabalho ISA99, produzimos o padrão de segurança cibernética IEC 62443. Esta é uma família de peças que explica o que é um sistema de controle de processo seguro:dos componentes à rede e ao sistema, da entrega do sistema à manutenção do sistema. Portanto, se você é um cliente que está tentando dizer:"Estou fazendo uma oferta para comprar um novo sistema de segurança ou um novo sistema de controle de processo para minha fábrica", você deve começar dizendo na especificação de lances. Seu produto deve ser certificado por este padrão. Há centenas de anos-homem de profissionais de todo o planeta que foram colocados neste padrão para definir o que significa segurança para o espaço dos sistemas de controle de automação industrial. Você deve aproveitar todo o trabalho que foi feito lá e procurar produtos que estejam em conformidade com esse padrão. Eles devem procurar produtos que estejam em conformidade com ele e sistemas que estejam em conformidade e organizações de entrega que o cumpram. E é assim que eles podem evitar ter que se tornar doutores em segurança cibernética para entender o campo. Em vez disso, eles podem alavancar os Ph.D.s que colocaram seus corações e almas no padrão.


Também há documentos que o governo dos EUA está produzindo com base no NCCIC / ICS-CERT. Colaboramos com essas pessoas nos padrões. A comunidade de segurança cibernética da OT é uma comunidade coesa. Nós nos conhecemos e trabalhamos regularmente.