Hola Habr! Esta es una traducción amateur del mensaje "Triton es el malware más asesino del mundo y se está propagando" por Martin Giles , publicado el 5 de marzo de 2019. Todas las ilustraciones fueron creadas por Ariel Davis.
Spoiler: los hackers rusos son nuevamente acusados de ataques cibernéticos.
El código de virus puede deshabilitar los sistemas de seguridad diseñados para prevenir accidentes industriales. Fue descubierto en el Medio Oriente, pero los piratas informáticos detrás de él están apuntando a empresas en América del Norte y otros países.
Como especialista experimentado en seguridad de la información, Julian Gatmanis ha ayudado a las empresas a lidiar con amenazas de amenazas cibernéticas muchas veces. Pero cuando un consultor de seguridad australiano fue llamado para una producción petroquímica en Arabia Saudita en el verano de 2017, descubrió algo que le heló la sangre.
Los hackers publicaron malware que les permitió tomar el control de los sistemas de seguridad industrial. Los reguladores y el software relacionado son la última línea de defensa contra desastres que amenazan la vida. Se supone que intervendrán cuando se detecten condiciones peligrosas, y que devuelvan los procesos a un nivel seguro o los apaguen completamente activando mecanismos de alivio de presión o cerrando válvulas.
El software malicioso le permite controlar los sistemas de seguridad de forma remota. Si los atacantes cierran o interfieren con el funcionamiento de estos sistemas y luego hacen que el equipo no funcione correctamente con otro software, las consecuencias pueden ser terribles. Afortunadamente, un error en el código le dio a los piratas informáticos antes de que pudieran hacer daño. Una respuesta de seguridad en junio de 2017 llevó a un alto en la producción. Más tarde, en agosto, se apagaron varios otros sistemas, lo que provocó otra parada de trabajo.
El primer accidente fue atribuido erróneamente a una falla en la mecánica; Después del segundo accidente, los propietarios llamaron a expertos para investigar. Descubrieron un virus que fue apodado Tritón (a veces llamado Trisis). Apuntó al modelo de controlador Triconex, creado por la compañía francesa Schneider Electric.
En el peor de los casos, el código viral podría conducir a la liberación de sulfuro de hidrógeno o causar explosiones, poniendo en peligro la vida en el lugar de trabajo y en las áreas circundantes.
Gatmanis recordó que lidiar con el virus en la producción reiniciada después del segundo accidente fue la misma molestia.
“Sabíamos que no podíamos confiar en la integridad de los sistemas de seguridad. Fue peor que nunca ".
Atacando la fábrica, los hackers cruzaron el aterrador Rubicón. Por primera vez, el mundo de la ciberseguridad se enfrenta a un código diseñado específicamente para exponer la vida de las personas a un riesgo mortal. Tales sistemas de seguridad se pueden encontrar no solo en la industria petroquímica; Esta es la última frontera en todo, desde el transporte o las plantas de tratamiento de agua hasta las centrales nucleares.
El descubrimiento de Triton plantea preguntas sobre cómo los piratas informáticos pudieron ingresar a estos sistemas de misión crítica. Las instalaciones industriales integran las comunicaciones en todo tipo de equipos, un fenómeno conocido como Internet de las cosas. Esta conexión permite a los trabajadores controlar dispositivos de forma remota, recopilar datos rápidamente y hacer que las operaciones sean más eficientes, pero al mismo tiempo, los piratas informáticos obtienen más objetivos potenciales.
Los creadores de Tritón ahora están buscando nuevas víctimas. Dragos, una compañía que se especializa en ciberseguridad industrial, afirma que durante el año pasado surgieron pruebas de que un grupo de piratas informáticos
utiliza los mismos métodos de inteligencia digital para detectar objetivos fuera de Oriente Medio, incluida América del Norte. Crean variaciones de código que pueden comprometer más sistemas de seguridad.
Preparación para el combate
Las noticias sobre la existencia de
Tritón aparecieron en diciembre de 2017, a pesar de que los datos personales del propietario se mantuvieron en secreto. (Gatmanis y otros expertos involucrados en la investigación se negaron a nombrar a la compañía por temor a que esto pudiera desalentar a las futuras víctimas de compartir información privada sobre ataques cibernéticos).
En los últimos años, las compañías especializadas en seguridad de la información han estado persiguiendo el virus y tratando de descubrir quién está detrás de su desarrollo. Su investigación pinta una imagen alarmante: un grupo de hackers sofisticados y pacientes cuyas
identidades aún se desconocen crean y alojan un arma cibernética sofisticada.
Los piratas informáticos aparecieron dentro de la red corporativa de una empresa petroquímica en 2014. Desde entonces, han encontrado un camino hacia la red de producción corporativa, probablemente a través de una vulnerabilidad en un firewall mal configurado cuya tarea es evitar el acceso no autorizado. Entraron en la estación de trabajo de ingeniería, o usando un error no corregido en el código de Windows, interceptando los datos de los empleados.
Dado que la estación de trabajo estaba conectada al sistema de seguridad de la empresa, los piratas informáticos pudieron estudiar el modelo de los sistemas de controlador de hardware, así como las versiones de software integradas en la memoria del instrumento y que afectan la transferencia de información entre ellos.
Probablemente luego adquirieron el mismo modelo de controlador y lo usaron para probar el malware. Esto permitió imitar el protocolo y establecer reglas digitales que permiten que una estación de trabajo de ingeniería interactúe con los sistemas de seguridad. Los hackers también descubrieron una "vulnerabilidad de día cero" (error previamente desconocido) en el programa incorporado de Triconex. Esto permitió que el código se ingresara en la memoria de los sistemas de seguridad, lo que garantizaba el acceso a los controladores en cualquier momento. Por lo tanto, los atacantes podrían ordenar que los sistemas de seguridad se apaguen y luego, con la ayuda de otros programas maliciosos, provocar una situación insegura en la empresa.
Los resultados podrían ser asombrosos. El peor accidente industrial también está asociado con la fuga de gases tóxicos. En diciembre de 1984, la planta productora de pesticidas Union Carbide en Bhopal, India, lanzó una gran nube de humos tóxicos, matando a miles de personas. Motivos: mal servicio y factor humano. Además, los sistemas de seguridad defectuosos e inoperantes en la planta significaron que su última línea de defensa había fallado.
Aún mayor preparación para el combate
No hubo muchos casos en que los piratas informáticos intentaron hacer daño físico utilizando el ciberespacio. Por ejemplo, Stuxnet: cientos de centrifugadoras nucleares iraníes se descontrolaron y se autodestruyeron (2010). Otro ejemplo, CrashOverride es un ataque de piratas informáticos en el sistema energético de Ucrania (2016). (Nuestra barra lateral contiene un resumen de estos y otros ataques ciberfísicos). *
Sin embargo, incluso el
ciber- Kassander más pesimista no vio malware como Triton.
"Simplemente parecía que apuntar a los sistemas de seguridad era moral y muy difícil técnicamente", explica Joe Slovick, un ex oficial de la Marina de los Estados Unidos que ahora trabaja en Dragos.
Otros expertos también se sorprendieron al ver noticias del código asesino.
"Incluso Stuxnet y otros virus nunca han tenido una intención tan evidente e inequívoca de dañar a las personas", dijo Bradford Hegret, un consultor de Accenture especializado en ciberseguridad industrial.
Lo más probable es que no sea coincidencia que el malware salió a la luz cuando los piratas informáticos de países como Rusia, Irán y Corea del Norte
intensificaron su investigación sobre los sectores de "infraestructura crítica" . Las compañías de petróleo y gas, las compañías de electricidad, las redes de transporte son vitales para la economía moderna.
En un
discurso el año pasado, Den Coats, director de inteligencia de Estados Unidos, advirtió que la amenaza de un ataque cibernético que paraliza la infraestructura vital de Estados Unidos está aumentando. Trazó paralelos con el aumento de la actividad cibernética de los grupos terroristas registrados por la inteligencia estadounidense antes del 11 de septiembre de 2001.
“Casi dos décadas después, estoy aquí para advertir, las luces parpadean en rojo nuevamente. Hoy, la infraestructura digital que sirve a nuestro país está literalmente bajo ataque ”, dijo Coates.
Al principio parecía que Tritón era obra de Irán, que es el enemigo jurado de Arabia Saudita. En un informe publicado en octubre pasado, FireEye, una compañía de seguridad de la información involucrada en la investigación desde el principio, culpó a otro país: Rusia.
Los hackers probaron elementos del código para hacer que su detección sea una tarea imposible para el antivirus. FireEye descubrió un archivo olvidado por hackers en la red corporativa y pudo rastrear otros archivos desde el mismo banco de pruebas. Contenían varios nombres en caracteres cirílicos y una dirección IP utilizada para iniciar operaciones relacionadas con virus.
Esta dirección fue registrada en el Instituto Central de Investigación de Química y Mecánica en Moscú, una organización gubernamental que se enfoca en infraestructura clave y seguridad industrial. FireEye también informó evidencia que indicaba la participación de un profesor en este instituto. Sin embargo, el informe señaló que FireEye no pudo encontrar evidencia que pudiera indicar inequívocamente la participación del instituto en el desarrollo de Tritón.
Los investigadores aún están profundizando en el origen del virus, por lo que pueden surgir muchas más teorías sobre los piratas informáticos. Mientras tanto, Gatmanis quiere ayudar a las empresas a aprender lecciones importantes de la experiencia similar de la fábrica saudita. En la Conferencia de Seguridad Industrial S4X19 de enero, describió algunos de ellos. Por ejemplo, la víctima del ataque de Tritón ignoró numerosas alarmas antivirus activadas por malware; Tampoco pudo detectar tráfico inusual dentro de sus redes. Los trabajadores también dejaron las teclas físicas que controlan la configuración en los sistemas Triconex en una posición que permite el acceso remoto al software del instrumento.
Esto puede parecer un caso desesperado, pero Gatmanis afirma que no lo es.
"Estuve en muchas fábricas estadounidenses que eran varias veces menos maduras [en mi enfoque de seguridad cibernética] que esta organización", explica Gatmanis.
Tritón: una línea de tiempo
2014Los piratas informáticos obtienen acceso a la red corporativa de la planta en Arabia Saudita
Junio 2017Primera parada de producción
Agosto de 2017Segunda parada de producción
Diciembre 2017Información sobre ataque cibernético publicada
Octubre 2018FireEye informa que lo más probable es que Triton se haya creado en un laboratorio ruso
Enero 2019Aparece más información sobre incidentes
Otros expertos señalan que los hackers que trabajan para el gobierno están listos para perseguir objetivos relativamente vagos y difíciles de descifrar. Los sistemas de seguridad están especialmente diseñados para proteger una variedad de procesos, por lo que programar un programa de virus requiere mucho tiempo y un trabajo minucioso. El controlador Triconex de Schneider Electric, por ejemplo, tiene muchos modelos diferentes, y cada uno de ellos puede tener una versión diferente del firmware.
El hecho de que los piratas informáticos tuvieran un costo tan alto para desarrollar Triton fue una llamada de atención para Schneider y otros proveedores de seguridad como Emerson (EE. UU.) Y Yokogawa (Japón). Schneider fue elogiado por haber compartido públicamente detalles sobre el ataque de los piratas informáticos, incluida la cobertura de un error de día cero, que posteriormente se corrigió. Sin embargo, durante la presentación de enero, Gatmanis criticó a la compañía por no poder interactuar con los investigadores inmediatamente después del ataque.
A Schneider se le aseguró que había colaborado con una compañía que estuvo bajo ataque cibernético tan de cerca como con el Departamento de Seguridad Nacional de los EE. UU. Y otras agencias que realizan la investigación. Se contrató a más personas y se mejoró la seguridad del firmware y los protocolos utilizados.
Andrew Kling, director ejecutivo de Schneider, dice que la importante lección aprendida de este incidente es que las empresas y los fabricantes de equipos deben prestar más atención a las áreas en las que comprometerse puede llevar a un desastre, incluso si parece poco probable un ataque contra ellos. Por ejemplo, rara vez se utilizan aplicaciones de software y protocolos antiguos que controlan las interacciones de los instrumentos.
"Se podría pensar que a nadie le molestará un [cierto] protocolo oscuro que ni siquiera está documentado", dice Kling, "pero hay que preguntarse cuáles serían las consecuencias si lo hicieran".
Un futuro diferente?
Durante la última década, las compañías han agregado conectividad a Internet y sensores a todo tipo de equipos industriales. Los datos recopilados se utilizan para todo; comenzando con la profilaxis, lo que significa utilizar el aprendizaje automático para predecir mejor cuándo se necesitará este servicio profiláctico, terminando con el ajuste de los procesos de producción. También se ha dado un gran paso para controlar los procesos de forma remota utilizando teléfonos inteligentes y tabletas.
Todo esto puede hacer que el negocio sea mucho más eficiente y productivo, lo que explica por qué, según el Grupo ARC, que monitorea el mercado, se espera que gaste unos 42 mil millones de dólares en equipos industriales de Internet; por ejemplo, sensores inteligentes y sistemas de control automatizados. Pero los riesgos también son obvios: cuanto más equipo esté conectado, más atacantes recibirán objetivos para los ataques.
Para disuadir a los ciberdelincuentes, las empresas suelen confiar en una estrategia conocida como "defensa profunda": crean varios niveles de seguridad y utilizan firewalls para separar las redes corporativas de Internet. La tarea de otros niveles es evitar que los hackers accedan a redes empresariales y sistemas de control industrial.
Los métodos de protección también incluyen herramientas antivirus para detectar virus y, cada vez más, software de inteligencia artificial que trata de reconocer comportamientos anormales dentro de los sistemas de TI.
Además, los sistemas de control de seguridad y los sistemas físicos a prueba de fallas se utilizan como máxima protección. Los sistemas más importantes generalmente tienen varias copias físicas para proteger contra la falla de un elemento.
Esta estrategia ha demostrado su fiabilidad. Pero un aumento en el número de piratas informáticos con suficiente tiempo, dinero y motivación para atacar la infraestructura crítica, así como un aumento en el crecimiento de los sistemas conectados a Internet, todo esto significa que el pasado no puede ser una guía confiable para el futuro.
Rusia, en particular, ha
demostrado un deseo de usar software como arma contra objetivos físicos que puede usar para probar armas cibernéticas. La introducción de Triton en Arabia Saudita muestra que determinados piratas informáticos están dispuestos a pasar años buscando formas de superar todos estos niveles de protección.
Afortunadamente, los atacantes en la empresa en Arabia Saudita fueron interceptados y aprendimos mucho más sobre cómo funcionaban. Este es un recordatorio aleccionador de que los piratas informáticos, como otros desarrolladores, también cometen errores. ¿Qué sucede si un error introducido involuntariamente, en lugar de apagar los sistemas de forma segura, "neutraliza" el sistema de seguridad, y esto sucede exactamente en el momento en que un error o factor humano hace que el proceso vital sea inútil?
Los expertos que trabajan en lugares como el Laboratorio Nacional de EE. UU. En Idaho
instan a las empresas a revisar todos sus procesos a la luz de la aparición de Triton y otras amenazas ciberfísicas, así como a reducir drásticamente o eliminar por completo las rutas digitales a través de las cuales los piratas informáticos pueden acceder a procesos vitales. .
Las empresas deberán asumir los costos, pero Triton es un recordatorio de que los riesgos están aumentando. Gatmanis cree que los nuevos ataques con virus mortales son casi inevitables.
"Aunque esta fue la primera vez", dice Gatmanis, "me sorprendería mucho si este fuera el primer y el último caso".
* Algunas amenazas cibernéticas notables (precaución, política)2010 - StuxnetDiseñado por la Agencia Americana nat. Además de la seguridad israelí, el virus era un gusano informático, un código que se copia de computadora en computadora sin intervención humana. Es muy probable que, de contrabando en una memoria USB, esté destinado a controladores lógicos programables que controlan procesos automatizados. El virus provocó la destrucción de las centrífugas utilizadas para enriquecer uranio en una planta en Irán.
2013 - HavexHavex fue diseñado para monitorear los sistemas de control de equipos. Presumiblemente, esto permitió a los piratas informáticos descubrir exactamente cómo organizar el ataque. El código es un troyano de acceso remoto
(RAT ), que permite a los hackers controlar las computadoras de forma remota. El virus estaba dirigido a miles de empresas estadounidenses, europeas y canadienses, especialmente en los campos de energía y petroquímica.
2015 - BlackEnergyBlackEnergy, otro troyano, "rotó en el mundo criminal" durante un tiempo, pero luego fue adaptado por piratas informáticos rusos para lanzar un ataque contra varias compañías energéticas ucranianas. En diciembre de 2015, ayudó a provocar apagones. El virus se utilizó para recopilar información sobre los sistemas de las compañías de energía y para robar las credenciales de los empleados.
2016 - CrashOverrideTambién conocido como Industroyer. , . (« »), . , , . — .