Triton es el virus m√°s mortal

Hola Habr! Esta es una traducción amateur del mensaje "Triton es el malware más asesino del mundo y se está propagando" por Martin Giles , publicado el 5 de marzo de 2019. Todas las ilustraciones fueron creadas por Ariel Davis.
Spoiler: los hackers rusos son nuevamente acusados ‚Äč‚Äčde ataques cibern√©ticos.

imagen El c√≥digo de virus puede deshabilitar los sistemas de seguridad dise√Īados para prevenir accidentes industriales. Fue descubierto en el Medio Oriente, pero los piratas inform√°ticos detr√°s de √©l est√°n apuntando a empresas en Am√©rica del Norte y otros pa√≠ses.


Como especialista experimentado en seguridad de la información, Julian Gatmanis ha ayudado a las empresas a lidiar con amenazas de amenazas cibernéticas muchas veces. Pero cuando un consultor de seguridad australiano fue llamado para una producción petroquímica en Arabia Saudita en el verano de 2017, descubrió algo que le heló la sangre.

Los hackers publicaron malware que les permiti√≥ tomar el control de los sistemas de seguridad industrial. Los reguladores y el software relacionado son la √ļltima l√≠nea de defensa contra desastres que amenazan la vida. Se supone que intervendr√°n cuando se detecten condiciones peligrosas, y que devuelvan los procesos a un nivel seguro o los apaguen completamente activando mecanismos de alivio de presi√≥n o cerrando v√°lvulas.

El software malicioso le permite controlar los sistemas de seguridad de forma remota. Si los atacantes cierran o interfieren con el funcionamiento de estos sistemas y luego hacen que el equipo no funcione correctamente con otro software, las consecuencias pueden ser terribles. Afortunadamente, un error en el c√≥digo le dio a los piratas inform√°ticos antes de que pudieran hacer da√Īo. Una respuesta de seguridad en junio de 2017 llev√≥ a un alto en la producci√≥n. M√°s tarde, en agosto, se apagaron varios otros sistemas, lo que provoc√≥ otra parada de trabajo.

El primer accidente fue atribuido err√≥neamente a una falla en la mec√°nica; Despu√©s del segundo accidente, los propietarios llamaron a expertos para investigar. Descubrieron un virus que fue apodado Trit√≥n (a veces llamado Trisis). Apunt√≥ al modelo de controlador Triconex, creado por la compa√Ī√≠a francesa Schneider Electric.

En el peor de los casos, el código viral podría conducir a la liberación de sulfuro de hidrógeno o causar explosiones, poniendo en peligro la vida en el lugar de trabajo y en las áreas circundantes.

Gatmanis recordó que lidiar con el virus en la producción reiniciada después del segundo accidente fue la misma molestia.
“Sabíamos que no podíamos confiar en la integridad de los sistemas de seguridad. Fue peor que nunca ".
Atacando la f√°brica, los hackers cruzaron el aterrador Rubic√≥n. Por primera vez, el mundo de la ciberseguridad se enfrenta a un c√≥digo dise√Īado espec√≠ficamente para exponer la vida de las personas a un riesgo mortal. Tales sistemas de seguridad se pueden encontrar no solo en la industria petroqu√≠mica; Esta es la √ļltima frontera en todo, desde el transporte o las plantas de tratamiento de agua hasta las centrales nucleares.

El descubrimiento de Triton plantea preguntas sobre cómo los piratas informáticos pudieron ingresar a estos sistemas de misión crítica. Las instalaciones industriales integran las comunicaciones en todo tipo de equipos, un fenómeno conocido como Internet de las cosas. Esta conexión permite a los trabajadores controlar dispositivos de forma remota, recopilar datos rápidamente y hacer que las operaciones sean más eficientes, pero al mismo tiempo, los piratas informáticos obtienen más objetivos potenciales.

Los creadores de Trit√≥n ahora est√°n buscando nuevas v√≠ctimas. Dragos, una compa√Ī√≠a que se especializa en ciberseguridad industrial, afirma que durante el a√Īo pasado surgieron pruebas de que un grupo de piratas inform√°ticos utiliza los mismos m√©todos de inteligencia digital para detectar objetivos fuera de Oriente Medio, incluida Am√©rica del Norte. Crean variaciones de c√≥digo que pueden comprometer m√°s sistemas de seguridad.

Preparación para el combate


Las noticias sobre la existencia de Trit√≥n aparecieron en diciembre de 2017, a pesar de que los datos personales del propietario se mantuvieron en secreto. (Gatmanis y otros expertos involucrados en la investigaci√≥n se negaron a nombrar a la compa√Ī√≠a por temor a que esto pudiera desalentar a las futuras v√≠ctimas de compartir informaci√≥n privada sobre ataques cibern√©ticos).

En los √ļltimos a√Īos, las compa√Ī√≠as especializadas en seguridad de la informaci√≥n han estado persiguiendo el virus y tratando de descubrir qui√©n est√° detr√°s de su desarrollo. Su investigaci√≥n pinta una imagen alarmante: un grupo de hackers sofisticados y pacientes cuyas identidades a√ļn se desconocen crean y alojan un arma cibern√©tica sofisticada.

Los piratas informáticos aparecieron dentro de la red corporativa de una empresa petroquímica en 2014. Desde entonces, han encontrado un camino hacia la red de producción corporativa, probablemente a través de una vulnerabilidad en un firewall mal configurado cuya tarea es evitar el acceso no autorizado. Entraron en la estación de trabajo de ingeniería, o usando un error no corregido en el código de Windows, interceptando los datos de los empleados.

Dado que la estación de trabajo estaba conectada al sistema de seguridad de la empresa, los piratas informáticos pudieron estudiar el modelo de los sistemas de controlador de hardware, así como las versiones de software integradas en la memoria del instrumento y que afectan la transferencia de información entre ellos.

Probablemente luego adquirieron el mismo modelo de controlador y lo usaron para probar el malware. Esto permiti√≥ imitar el protocolo y establecer reglas digitales que permiten que una estaci√≥n de trabajo de ingenier√≠a interact√ļe con los sistemas de seguridad. Los hackers tambi√©n descubrieron una "vulnerabilidad de d√≠a cero" (error previamente desconocido) en el programa incorporado de Triconex. Esto permiti√≥ que el c√≥digo se ingresara en la memoria de los sistemas de seguridad, lo que garantizaba el acceso a los controladores en cualquier momento. Por lo tanto, los atacantes podr√≠an ordenar que los sistemas de seguridad se apaguen y luego, con la ayuda de otros programas maliciosos, provocar una situaci√≥n insegura en la empresa.

Los resultados podr√≠an ser asombrosos. El peor accidente industrial tambi√©n est√° asociado con la fuga de gases t√≥xicos. En diciembre de 1984, la planta productora de pesticidas Union Carbide en Bhopal, India, lanz√≥ una gran nube de humos t√≥xicos, matando a miles de personas. Motivos: mal servicio y factor humano. Adem√°s, los sistemas de seguridad defectuosos e inoperantes en la planta significaron que su √ļltima l√≠nea de defensa hab√≠a fallado.

A√ļn mayor preparaci√≥n para el combate


No hubo muchos casos en que los piratas inform√°ticos intentaron hacer da√Īo f√≠sico utilizando el ciberespacio. Por ejemplo, Stuxnet: cientos de centrifugadoras nucleares iran√≠es se descontrolaron y se autodestruyeron (2010). Otro ejemplo, CrashOverride es un ataque de piratas inform√°ticos en el sistema energ√©tico de Ucrania (2016). (Nuestra barra lateral contiene un resumen de estos y otros ataques ciberf√≠sicos). *

Sin embargo, incluso el ciber- Kassander m√°s pesimista no vio malware como Triton.
"Simplemente parecía que apuntar a los sistemas de seguridad era moral y muy difícil técnicamente", explica Joe Slovick, un ex oficial de la Marina de los Estados Unidos que ahora trabaja en Dragos.
Otros expertos también se sorprendieron al ver noticias del código asesino.
"Incluso Stuxnet y otros virus nunca han tenido una intenci√≥n tan evidente e inequ√≠voca de da√Īar a las personas", dijo Bradford Hegret, un consultor de Accenture especializado en ciberseguridad industrial.
imagen

Lo m√°s probable es que no sea coincidencia que el malware sali√≥ a la luz cuando los piratas inform√°ticos de pa√≠ses como Rusia, Ir√°n y Corea del Norte intensificaron su investigaci√≥n sobre los sectores de "infraestructura cr√≠tica" . Las compa√Ī√≠as de petr√≥leo y gas, las compa√Ī√≠as de electricidad, las redes de transporte son vitales para la econom√≠a moderna.

En un discurso el a√Īo pasado, Den Coats, director de inteligencia de Estados Unidos, advirti√≥ que la amenaza de un ataque cibern√©tico que paraliza la infraestructura vital de Estados Unidos est√° aumentando. Traz√≥ paralelos con el aumento de la actividad cibern√©tica de los grupos terroristas registrados por la inteligencia estadounidense antes del 11 de septiembre de 2001.
‚ÄúCasi dos d√©cadas despu√©s, estoy aqu√≠ para advertir, las luces parpadean en rojo nuevamente. Hoy, la infraestructura digital que sirve a nuestro pa√≠s est√° literalmente bajo ataque ‚ÄĚ, dijo Coates.
Al principio parec√≠a que Trit√≥n era obra de Ir√°n, que es el enemigo jurado de Arabia Saudita. En un informe publicado en octubre pasado, FireEye, una compa√Ī√≠a de seguridad de la informaci√≥n involucrada en la investigaci√≥n desde el principio, culp√≥ a otro pa√≠s: Rusia.

Los hackers probaron elementos del código para hacer que su detección sea una tarea imposible para el antivirus. FireEye descubrió un archivo olvidado por hackers en la red corporativa y pudo rastrear otros archivos desde el mismo banco de pruebas. Contenían varios nombres en caracteres cirílicos y una dirección IP utilizada para iniciar operaciones relacionadas con virus.

Esta direcci√≥n fue registrada en el Instituto Central de Investigaci√≥n de Qu√≠mica y Mec√°nica en Mosc√ļ, una organizaci√≥n gubernamental que se enfoca en infraestructura clave y seguridad industrial. FireEye tambi√©n inform√≥ evidencia que indicaba la participaci√≥n de un profesor en este instituto. Sin embargo, el informe se√Īal√≥ que FireEye no pudo encontrar evidencia que pudiera indicar inequ√≠vocamente la participaci√≥n del instituto en el desarrollo de Trit√≥n.

Los investigadores a√ļn est√°n profundizando en el origen del virus, por lo que pueden surgir muchas m√°s teor√≠as sobre los piratas inform√°ticos. Mientras tanto, Gatmanis quiere ayudar a las empresas a aprender lecciones importantes de la experiencia similar de la f√°brica saudita. En la Conferencia de Seguridad Industrial S4X19 de enero, describi√≥ algunos de ellos. Por ejemplo, la v√≠ctima del ataque de Trit√≥n ignor√≥ numerosas alarmas antivirus activadas por malware; Tampoco pudo detectar tr√°fico inusual dentro de sus redes. Los trabajadores tambi√©n dejaron las teclas f√≠sicas que controlan la configuraci√≥n en los sistemas Triconex en una posici√≥n que permite el acceso remoto al software del instrumento.

Esto puede parecer un caso desesperado, pero Gatmanis afirma que no lo es.
"Estuve en muchas fábricas estadounidenses que eran varias veces menos maduras [en mi enfoque de seguridad cibernética] que esta organización", explica Gatmanis.



Tritón: una línea de tiempo


2014
Los piratas inform√°ticos obtienen acceso a la red corporativa de la planta en Arabia Saudita

Junio ‚Äč‚Äč2017
Primera parada de producción

Agosto de 2017
Segunda parada de producción

Diciembre 2017
Información sobre ataque cibernético publicada

Octubre 2018
FireEye informa que lo m√°s probable es que Triton se haya creado en un laboratorio ruso

Enero 2019
Aparece más información sobre incidentes



Otros expertos se√Īalan que los hackers que trabajan para el gobierno est√°n listos para perseguir objetivos relativamente vagos y dif√≠ciles de descifrar. Los sistemas de seguridad est√°n especialmente dise√Īados para proteger una variedad de procesos, por lo que programar un programa de virus requiere mucho tiempo y un trabajo minucioso. El controlador Triconex de Schneider Electric, por ejemplo, tiene muchos modelos diferentes, y cada uno de ellos puede tener una versi√≥n diferente del firmware.

El hecho de que los piratas inform√°ticos tuvieran un costo tan alto para desarrollar Triton fue una llamada de atenci√≥n para Schneider y otros proveedores de seguridad como Emerson (EE. UU.) Y Yokogawa (Jap√≥n). Schneider fue elogiado por haber compartido p√ļblicamente detalles sobre el ataque de los piratas inform√°ticos, incluida la cobertura de un error de d√≠a cero, que posteriormente se corrigi√≥. Sin embargo, durante la presentaci√≥n de enero, Gatmanis critic√≥ a la compa√Ī√≠a por no poder interactuar con los investigadores inmediatamente despu√©s del ataque.

A Schneider se le asegur√≥ que hab√≠a colaborado con una compa√Ī√≠a que estuvo bajo ataque cibern√©tico tan de cerca como con el Departamento de Seguridad Nacional de los EE. UU. Y otras agencias que realizan la investigaci√≥n. Se contrat√≥ a m√°s personas y se mejor√≥ la seguridad del firmware y los protocolos utilizados.

Andrew Kling, director ejecutivo de Schneider, dice que la importante lección aprendida de este incidente es que las empresas y los fabricantes de equipos deben prestar más atención a las áreas en las que comprometerse puede llevar a un desastre, incluso si parece poco probable un ataque contra ellos. Por ejemplo, rara vez se utilizan aplicaciones de software y protocolos antiguos que controlan las interacciones de los instrumentos.
"Se podría pensar que a nadie le molestará un [cierto] protocolo oscuro que ni siquiera está documentado", dice Kling, "pero hay que preguntarse cuáles serían las consecuencias si lo hicieran".
imagen

Un futuro diferente?


Durante la √ļltima d√©cada, las compa√Ī√≠as han agregado conectividad a Internet y sensores a todo tipo de equipos industriales. Los datos recopilados se utilizan para todo; comenzando con la profilaxis, lo que significa utilizar el aprendizaje autom√°tico para predecir mejor cu√°ndo se necesitar√° este servicio profil√°ctico, terminando con el ajuste de los procesos de producci√≥n. Tambi√©n se ha dado un gran paso para controlar los procesos de forma remota utilizando tel√©fonos inteligentes y tabletas.

Todo esto puede hacer que el negocio sea mucho m√°s eficiente y productivo, lo que explica por qu√©, seg√ļn el Grupo ARC, que monitorea el mercado, se espera que gaste unos 42 mil millones de d√≥lares en equipos industriales de Internet; por ejemplo, sensores inteligentes y sistemas de control automatizados. Pero los riesgos tambi√©n son obvios: cuanto m√°s equipo est√© conectado, m√°s atacantes recibir√°n objetivos para los ataques.

Para disuadir a los ciberdelincuentes, las empresas suelen confiar en una estrategia conocida como "defensa profunda": crean varios niveles de seguridad y utilizan firewalls para separar las redes corporativas de Internet. La tarea de otros niveles es evitar que los hackers accedan a redes empresariales y sistemas de control industrial.

Los métodos de protección también incluyen herramientas antivirus para detectar virus y, cada vez más, software de inteligencia artificial que trata de reconocer comportamientos anormales dentro de los sistemas de TI.

Además, los sistemas de control de seguridad y los sistemas físicos a prueba de fallas se utilizan como máxima protección. Los sistemas más importantes generalmente tienen varias copias físicas para proteger contra la falla de un elemento.

Esta estrategia ha demostrado su fiabilidad. Pero un aumento en el n√ļmero de piratas inform√°ticos con suficiente tiempo, dinero y motivaci√≥n para atacar la infraestructura cr√≠tica, as√≠ como un aumento en el crecimiento de los sistemas conectados a Internet, todo esto significa que el pasado no puede ser una gu√≠a confiable para el futuro.

Rusia, en particular, ha demostrado un deseo de usar software como arma contra objetivos f√≠sicos que puede usar para probar armas cibern√©ticas. La introducci√≥n de Triton en Arabia Saudita muestra que determinados piratas inform√°ticos est√°n dispuestos a pasar a√Īos buscando formas de superar todos estos niveles de protecci√≥n.

Afortunadamente, los atacantes en la empresa en Arabia Saudita fueron interceptados y aprendimos mucho m√°s sobre c√≥mo funcionaban. Este es un recordatorio aleccionador de que los piratas inform√°ticos, como otros desarrolladores, tambi√©n cometen errores. ¬ŅQu√© sucede si un error introducido involuntariamente, en lugar de apagar los sistemas de forma segura, "neutraliza" el sistema de seguridad, y esto sucede exactamente en el momento en que un error o factor humano hace que el proceso vital sea in√ļtil?

Los expertos que trabajan en lugares como el Laboratorio Nacional de EE. UU. En Idaho instan a las empresas a revisar todos sus procesos a la luz de la aparición de Triton y otras amenazas ciberfísicas, así como a reducir drásticamente o eliminar por completo las rutas digitales a través de las cuales los piratas informáticos pueden acceder a procesos vitales. .

Las empresas deber√°n asumir los costos, pero Triton es un recordatorio de que los riesgos est√°n aumentando. Gatmanis cree que los nuevos ataques con virus mortales son casi inevitables.
"Aunque esta fue la primera vez", dice Gatmanis, "me sorprender√≠a mucho si este fuera el primer y el √ļltimo caso".


* Algunas amenazas cibernéticas notables (precaución, política)

2010 - Stuxnet

Dise√Īado por la Agencia Americana nat. Adem√°s de la seguridad israel√≠, el virus era un gusano inform√°tico, un c√≥digo que se copia de computadora en computadora sin intervenci√≥n humana. Es muy probable que, de contrabando en una memoria USB, est√© destinado a controladores l√≥gicos programables que controlan procesos automatizados. El virus provoc√≥ la destrucci√≥n de las centr√≠fugas utilizadas para enriquecer uranio en una planta en Ir√°n.

2013 - Havex

Havex fue dise√Īado para monitorear los sistemas de control de equipos. Presumiblemente, esto permiti√≥ a los piratas inform√°ticos descubrir exactamente c√≥mo organizar el ataque. El c√≥digo es un troyano de acceso remoto (RAT ), que permite a los hackers controlar las computadoras de forma remota. El virus estaba dirigido a miles de empresas estadounidenses, europeas y canadienses, especialmente en los campos de energ√≠a y petroqu√≠mica.

2015 - BlackEnergy

BlackEnergy, otro troyano, "rot√≥ en el mundo criminal" durante un tiempo, pero luego fue adaptado por piratas inform√°ticos rusos para lanzar un ataque contra varias compa√Ī√≠as energ√©ticas ucranianas. En diciembre de 2015, ayud√≥ a provocar apagones. El virus se utiliz√≥ para recopilar informaci√≥n sobre los sistemas de las compa√Ī√≠as de energ√≠a y para robar las credenciales de los empleados.

2016 - CrashOverride

Tambi√©n conocido como Industroyer. , . (¬ę ¬Ľ), . , , . ‚ÄĒ .

Source: https://habr.com/ru/post/443254/


All Articles