Malware Trisis descoberto em outras instalações industriais

Quando os pesquisadores de segurança cibernética da Dragos e FireEye divulgaram o chamado malware Triton visando sistemas de segurança industrial, foi uma revelação. Triton marcou a primeira descoberta de malware com a intenção de causar destruição física. O código fez isso visando um sistema instrumentado de segurança industrial, mas, felizmente, não foi eficaz em causar desastres.

O ataque, também conhecido como “Trisis”, estava envolto em mistério até recentemente. Os primeiros relatórios do ataque eram vagos. Um ator do Estado-nação provavelmente está por trás do ataque, que atingiu em algum lugar do Oriente Médio. Mas o Triton também serviu como uma espécie de alerta devido ao seu potencial de causar destruição maciça na forma de uma emergência em uma usina de óleo e gás.

“Eu estava no Oriente Médio cerca de uma semana antes do lançamento do Triton”, lembrou Jason Haward-Grau, CISO da PAS Global. Em uma conversa, Haward-Grau perguntou a um diretor de segurança da empresa petrolífera como ele se sentia em relação ao nível de segurança cibernética da empresa. "Bem, ele me disse que não precisava se preocupar com nada. Eu pensei:‘Uau, você é a única pessoa que conheci na segurança cibernética que não se preocupa. Eu não paro de me preocupar. Eu não consigo dormir, ’” Haward-Grau continuou. O profissional de segurança cibernética com base no Oriente Médio continuou a recitar os motivos pelos quais ele conseguia dormir bem à noite:“Estamos sem ar. Temos diodos de dados. E se tudo der errado, nós temos um sistema SIS ”, disse o diretor de segurança, referindo-se ao sistema de segurança instrumentado, que é projetado para permitir que uma operação industrial crítica falhe de forma segura e elegante em caso de emergência.

[ Mundo da Internet das coisas é a intersecção de indústrias e inovação de IoT. Reserve o seu passe de conferência e economize $ 350, ganhe um passe gratuito para a exposição ou veja o Alto-falantes de segurança IoT no evento.]

Uma semana depois, o Trisis apareceu, o que levou o profissional de segurança cibernética a ligar para Haward-Grau. “Ele me ligou e disse:‘ Ouça, você sabe, como eu disse que tínhamos três abordagens centrais para a segurança cibernética. Estou um pouco nervoso agora que podemos não ter os três. ’”

Embora o Trisis tenha causado ondas de choque no campo da segurança cibernética industrial nos meses após sua descoberta, os detalhes em torno do malware eram esparsos. Agora, uma imagem mais clara do ataque está surgindo. A firma de segurança cibernética FireEye confirmou em 10 de abril que descobriu um ataque adicional em uma instalação de infraestrutura crítica separada. No ano passado, a empresa de segurança cibernética também anunciou que acreditava que o ataque tinha raízes russas.

“Para a maioria dos proprietários e operadoras, não importa se a Rússia estava por trás disso, ou um grupo hacktivista”, disse Emily S. Miller, diretora de segurança nacional e programas de infraestrutura crítica da Mocana. “O que importa é se eles podem fazer com que coisas ruins aconteçam. E quando se trata de infraestrutura crítica, isso significa perda de vidas. ”

A FireEye desenvolveu uma imagem mais clara da mecânica do Triton, que aproveitou dezenas de ferramentas de intrusão personalizadas e de commodities. Por exemplo, SecHack foi usado para coleta de credenciais enquanto Cryptcat, Bitvise, OpenSSH e PLINK criaram backdoors. Ferramentas personalizadas provavelmente ajudaram os invasores a contornar as proteções de segurança cibernética.

O impacto de um ataque bem-sucedido em um alvo do SIS pode ser significativo. “Um mau ator pode encerrar um processo [destinado a proteger uma instalação industrial em caso de emergência] manipulando a configuração de um sistema de segurança”, disse Eddie Habibi, diretor executivo da PAS Global, em um comunicado por e-mail. “No entanto, o perigo real reside no fato de o invasor se infiltrar em outros sistemas ICS dentro das mesmas instalações do sistema de segurança”, continuou ele. Se isso acontecer, um adversário pode lançar as bases para um desastre, modificando os processos industriais para exceder os limites operacionais seguros, podendo causar destruição física, ferimentos, morte e poluição. Na instalação onde o malware foi identificado pela primeira vez, o Triton pode ter interferido no funcionamento de um sistema de gerenciamento de queimador, potencialmente provocando a liberação de gás sulfureto de hidrogênio.

O Triton, que tinha como alvo o equipamento da Schneider Electric, também poderia inspirar ataques de cópia que visam não apenas roubar dados confidenciais, mas também causar destruição física e possível perda de vidas. “Acho que vimos a catalisação de ataques semelhantes”, disse Miller. E o ataque fornece não apenas um plano para ataques ao setor de petróleo e gás, que foi supostamente visado no primeiro ataque Trisis anunciado, mas qualquer tipo de infraestrutura crítica, incluindo sistemas de automação predial. “Olhe para a Black Energy”, disse Miller, referindo-se ao malware que desempenhou um papel no desligamento de parte da rede elétrica na Ucrânia. “Quando aconteceu, era totalmente novo e inovador. Agora, é algo que você pode comprar na dark web. ” Os adversários que desenvolvem tais ataques perigosos podem compartilhar suas táticas com hackers que pensam da mesma forma, semelhantes a cozinheiros que roubam receitas online, disse Miller.

O potencial para mais apoio dos Estados-nação a tais ataques também é preocupante. “Com a geração atual de sistemas de tecnologia operacional (OT), um problema de segurança cibernética absoluto é um problema de segurança absoluto”, disse John Sheehy, vice-presidente de serviços estratégicos da IOActive em um comunicado por e-mail. Desde então, a Schneider lançou uma campanha educacional para transformar o Triton em uma “chamada à ação” para a indústria, disse Andrew Kling, diretor de segurança cibernética e arquitetura de sistema da Schneider Electric, em uma entrevista no ano passado.

Os pesquisadores da FireEye acreditam que os estados-nações podem estar aumentando esse malware para dar suporte a operações de contingência, em vez de lançar ataques destrutivos imediatamente. Configurar e potencialmente orquestrar um ataque como o Trisis provavelmente requer anos de planejamento e investimento de tempo dos atores da ameaça, que trabalham para garantir que tenham acesso contínuo ao ambiente de seu alvo. A equipe de pesquisa da FireEye acredita que levou quase um ano para o adversário expandir o acesso da rede de seu alvo a uma estação de trabalho de engenharia SIS. Nesse ínterim, o invasor trabalhou cuidadosamente para ocultar seus rastros, por exemplo, renomeando arquivos de malware executáveis ​​para se parecerem com arquivos de atualização da Microsoft. A FireEye acredita que os invasores por trás do Trisis estão ativos desde pelo menos 2014.

John Sheehy, vice-presidente de serviços estratégicos da IOActive and Miller a, disse que o malware Triton também deve servir como um impulso para criar proteções holísticas de segurança cibernética em ambientes industriais, em vez de focar predominantemente em medidas defensivas, como monitoramento de rede e caça a ameaças. Sheehy também enfatizou a importância de construir proteções de segurança física em ambientes industriais que poderiam ajudar a mitigar um ataque cibernético orientado para a segurança bem-sucedido. “Sempre que possível, os projetistas devem usar controles de segurança ortogonais, como válvulas de alívio de pressão mecânicas ou reguladores mecânicos, que têm coincidência zero com os sistemas de controle e, portanto, não podem ser afetados por eles”, disse Sheehy. “As implementações de OT de hoje devem se concentrar no gerenciamento das consequências de um ataque de segurança cibernética por meio de proteções e mitigações em camadas usando controles de engenharia não relacionados à segurança cibernética. Isso deve ser feito com foco no fornecimento de resiliência operacional ao processo e às operações gerais. ”

“Vamos chegar à causa raiz do impacto aqui:precisamos fortalecer e incorporar a segurança a esses dispositivos ICS desde o início”, disse Miller em um comunicado por e-mail. “Até que façamos isso, continuaremos nos deixando como alvos fáceis para ataques de infraestrutura ainda mais críticos, como este.”