Triton - El malware que Compromete los Sistemas de Seguridad Críticos

FireEye ha anunciado el malware Triton, una amenaza grave para los sistemas de infraestructura críticos SIS (Safety Instrumented Systems) a la par de los ya conocidos de Stuxnet e Industroyer.

Apenas acabamos de iniciar el nuevo año 2018 y ya tenemos la primera alerta sobre Ciberseguridad en entornos de control industrial. FireEye ha anunciado el malware Triton, una amenaza grave para los sistemas de infraestructura críticos a la par de los ya conocidos de Stuxnet e Industroyer porque apunta específicamente a los sistemas de control industrial con la capacidad de causar daños físicos o operaciones de apagado.

"Los sistemas de seguridad identificados son componentes clave para infraestructuras críticas ya que se utilizan para monitorear entornos industriales para garantizar la seguridad de los trabajadores, los factores ambientales y otros aspectos de las operaciones ", dijo Edgard Capdevielle, CEO de Nozomi Networks y socio de FireEye.

Este nuevo Malware se descubrió cuando Mandiant (empresa perteneciente a Fireeye y que ofrece servicios de consultoría en ciberseguridad industrial) respondió recientemente a un incidente en una organización de infraestructura crítica donde un atacante implementó malware diseñado para manipular sistemas de seguridad industrial.

Los sistemas específicos proporcionaron capacidad de cierre de emergencia para procesos industriales. Se evaluó que el atacante estaba desarrollando la capacidad de causar daño físico y operaciones de apagado inadvertidamente. Este malware, al que llamaron TRITON, es un marco de ataque creado para interactuar con los controladores Triconex Safety Instrumented System (SIS) de Schneider Electric.

TRITON es uno de un número limitado de familias de software malicioso identificadas públicamente dirigidas a los sistemas de control industrial (ICS). Sigue a Stuxnet que fue utilizado contra Irán en 2010 e Industroyer que se cree que fue desplegado por Sandworm Team contra Ucrania en 2016. TRITON es consistente con estos ataques, ya que podría evitar que los mecanismos de seguridad ejecuten su función prevista, lo que resulta en una consecuencia física.

Resumen del incidente

El atacante obtuvo acceso remoto a una estación de trabajo de ingeniería SIS (Safety Instrumented Systems) e implementó el marco de ataque TRITON para reprogramar los controladores SIS. Durante el incidente, algunos controladores SIS entraron en un estado seguro fallido, lo que detuvo automáticamente el proceso industrial y provocó que el propietario del activo inicie una investigación.


La investigación encontró que los controladores SIS iniciaron un cierre seguro cuando el código de la aplicación entre unidades de procesamiento redundantes falló una verificación de validación, lo que dio como resultado un mensaje de error de diagnóstico de MP.

Atribución

FireEye no ha conectado esta actividad con ningún actor al que actualmente estén rasteando; sin embargo, evaluan que el actor está patrocinado por algún país. La orientación de la infraestructura crítica, así como la persistencia del atacante, la falta de un objetivo monetario claro y los recursos técnicos necesarios para crear el marco de ataque sugieren a un país con recursos suficientes para estar detrás del ataque. Específicamente, los siguientes hechos respaldan esta evaluación:


El atacante atacó al SIS sugiriendo un interés en causar un ataque de alto impacto con consecuencias físicas. Este es un objetivo de ataque que normalmente no se ve en los grupos de delitos cibernéticos.


El atacante implementó TRITON poco después de obtener acceso al sistema SIS, lo que indica que habían precompilado y probado la herramienta que requeriría acceso a hardware y software que no están ampliamente disponibles. TRITON también está diseñado para comunicarse utilizando el protocolo patentado de TriStation que no está documentado públicamente, lo que sugiere que el adversario ha diseñado de forma independiente este protocolo.


La selección de infraestructura crítica para interrumpir, degradar o destruir sistemas es consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo globalmente por rusos, iraníes, norcoreanos, estadounidenses e israelíes. Las intrusiones de esta naturaleza no necesariamente indican un intento inmediato de interrumpir los sistemas específicos, y pueden ser una preparación para una contingencia.

Background sobre control de procesos y sistemas instrumentados de seguridad

Los modernos sistemas de control y automatización de procesos industriales se basan en una variedad de sofisticados sistemas de control y funciones de seguridad. Estos sistemas y funciones a menudo se conocen como Sistemas de control industrial (ICS) o Tecnología operativa (OT).

Un Sistema de Control Distribuido (DCS) proporciona a los operadores humanos la capacidad de monitorear y controlar remotamente un proceso industrial. Es un sistema de control computarizado que consiste en computadoras, aplicaciones de software y controladores. Una estación de trabajo de ingeniería es una computadora utilizada para la configuración, el mantenimiento y el diagnóstico de las aplicaciones del sistema de control y otros equipos del sistema de control.

Un SIS (Safety Instrumented Systems) es un sistema de control autónomo que monitorea independientemente el estado del proceso bajo control. Si el proceso excede los parámetros que definen un estado peligroso, el SIS intenta llevar el proceso nuevamente a un estado seguro o automáticamente realiza un apagado seguro del proceso. Si los controles SIS y DCS fallan, la última línea de defensa es el diseño de la instalación industrial, que incluye protecciones mecánicas en el equipo (por ejemplo, discos de ruptura), alarmas físicas, procedimientos de respuesta de emergencia y otros mecanismos para mitigar situaciones peligrosas.

Los propietarios de activos emplean diversos enfoques para interconectar el DCS de su planta con el SIS. El enfoque tradicional se basa en los principios de segregación tanto para las infraestructuras de comunicación como para las estrategias de control.

Durante al menos la última década, ha habido una tendencia hacia la integración de los diseños DCS y SIS por varias razones, que incluyen menor costo, facilidad de uso y los beneficios que se obtienen al intercambiar información entre DCS y SIS.

Fireeye cree que TRITON demuestra de forma aguda el riesgo asociado con los diseños integrados que permiten la comunicación bidireccional entre los hosts de red SIS y DCS.