Hallo Habr! Dies ist eine Amateurübersetzung der Nachricht „Triton ist die mörderischste Malware der Welt und verbreitet sich“ von Martin Giles , veröffentlicht am 5. März 2019. Alle Illustrationen wurden von Ariel Davis erstellt.
Spoiler: Russischen Hackern werden erneut Cyber-Angriffe vorgeworfen.
Virencode kann Sicherheitssysteme deaktivieren, die Arbeitsunfälle verhindern sollen. Es wurde im Nahen Osten entdeckt, aber die Hacker dahinter zielen auf Unternehmen in Nordamerika und anderen Ländern ab.
Als erfahrener Spezialist für Informationssicherheit hat Julian Gatmanis Unternehmen mehrfach dabei geholfen, mit Bedrohungen durch Cyber-Bedrohungen umzugehen. Als jedoch im Sommer 2017 ein australischer Sicherheitsberater für eine petrochemische Produktion in Saudi-Arabien einberufen wurde, entdeckte er etwas, das sein Blut kalt werden ließ.
Hacker veröffentlichten Malware, mit der sie die Kontrolle über industrielle Sicherheitssysteme übernehmen konnten. Regulierungsbehörden und zugehörige Software sind die letzte Verteidigungslinie gegen lebensbedrohliche Katastrophen. Es wird davon ausgegangen, dass sie eingreifen, wenn gefährliche Zustände erkannt werden, und entweder die Prozesse auf ein sicheres Niveau zurückführen oder sie durch Aktivieren von Druckentlastungsmechanismen oder Schließen von Ventilen vollständig ausschalten.
Mit schädlicher Software können Sie Sicherheitssysteme fernsteuern. Wenn Angreifer den Betrieb dieser Systeme herunterfahren oder stören und dann die Geräte mit anderer Software fehlerhaft funktionieren, können die Folgen schrecklich sein. Glücklicherweise gab ein Fehler im Code Hackern, bevor sie Schaden anrichten konnten. Eine Sicherheitsreaktion im Juni 2017 führte zu einem Produktionsstopp. Später, im August, wurden mehrere andere Systeme ausgeschaltet - dies führte zu einem weiteren Arbeitsstopp.
Der erste Unfall wurde fälschlicherweise auf einen Ausfall der Mechanik zurückgeführt; Nach dem zweiten Unfall riefen die Eigentümer Experten zur Untersuchung an. Sie entdeckten ein Virus mit dem Spitznamen Triton (manchmal auch Trisis genannt). Er zielte auf das Triconex-Controller-Modell ab, das von der französischen Firma Schneider Electric entwickelt wurde.
Im schlimmsten Fall kann der Viruscode zur Freisetzung von Schwefelwasserstoff führen oder Explosionen verursachen, die das Leben am Arbeitsplatz und in der Umgebung gefährden.
Gatmanis erinnerte daran, dass der Umgang mit dem Virus in der Produktion, der nach dem zweiten Unfall wieder aufgenommen wurde, der gleiche Aufwand war.
„Wir wussten, dass wir uns nicht auf die Integrität von Sicherheitssystemen verlassen können. Es war schlimmer als je zuvor. “
Hacker griffen die Fabrik an und überquerten den furchterregenden Rubikon. Zum ersten Mal ist die Welt der Cybersicherheit mit Code konfrontiert, der speziell entwickelt wurde, um das Leben von Menschen einem tödlichen Risiko auszusetzen. Solche Sicherheitssysteme gibt es nicht nur in der petrochemischen Industrie. Dies ist die letzte Grenze in allen Bereichen, von Transport- oder Wasseraufbereitungsanlagen bis hin zu Kernkraftwerken.
Tritons Entdeckung wirft Fragen auf, wie Hacker in diese geschäftskritischen Systeme gelangen konnten. Industrieanlagen integrieren die Kommunikation in alle Arten von Geräten - ein Phänomen, das als Internet der Dinge bekannt ist. Über diese Verbindung können Mitarbeiter Geräte fernsteuern, schnell Daten sammeln und Vorgänge effizienter gestalten. Gleichzeitig erhalten Hacker mehr potenzielle Ziele.
Die Schöpfer von Triton suchen jetzt nach neuen Opfern. Dragos, ein auf industrielle Cybersicherheit spezialisiertes Unternehmen, behauptet, dass im vergangenen Jahr Beweise dafür aufgetaucht sind, dass eine Gruppe von Hackern
dieselben Methoden der digitalen Intelligenz verwendet , um Ziele außerhalb des Nahen Ostens, einschließlich Nordamerikas, zu erkennen. Sie erstellen Codevarianten, die mehr Sicherheitssysteme gefährden können.
Kampfbereitschaft
Nachrichten über die Existenz von
Triton erschienen im Dezember 2017, obwohl die persönlichen Daten des Eigentümers geheim gehalten wurden. (Gatmanis und andere an der Untersuchung beteiligte Experten weigerten sich, das Unternehmen zu benennen, aus Angst, dies könnte zukünftige Opfer davon abhalten, Informationen über Cyber-Angriffe privat weiterzugeben.)
In den letzten Jahren haben Unternehmen, die sich auf Informationssicherheit spezialisiert haben, den Virus verfolgt und versucht herauszufinden, wer hinter seiner Entwicklung steht. Ihre Untersuchung zeichnet ein alarmierendes Bild: Eine hoch entwickelte Cyberwaffe wird von einer Gruppe entschlossener und geduldiger Hacker erstellt und gehostet, deren
Identität noch unbekannt ist .
Hacker tauchten 2014 im Unternehmensnetzwerk eines petrochemischen Unternehmens auf. Seitdem haben sie einen Weg in das Unternehmensproduktionsnetzwerk gefunden, höchstwahrscheinlich durch eine Sicherheitslücke in einer schlecht konfigurierten Firewall, deren Aufgabe es ist, unbefugten Zugriff zu verhindern. Sie betraten die Engineering-Workstation oder verwendeten einen nicht korrigierten Fehler im Windows-Code, um Mitarbeiterdaten abzufangen.
Da die Workstation mit dem Unternehmenssicherheitssystem verbunden war, konnten Hacker das Modell von Hardware-Controller-Systemen sowie die im Gerätespeicher integrierten Softwareversionen untersuchen und die Übertragung von Informationen zwischen ihnen beeinflussen.
Wahrscheinlich haben sie dann dasselbe Controller-Modell erworben und damit die Malware getestet. Dies ermöglichte es, das Protokoll nachzuahmen und digitale Regeln festzulegen, die es einer Engineering-Workstation ermöglichen, mit Sicherheitssystemen zu interagieren. Hacker entdeckten auch eine "Zero Day-Sicherheitslücke" (bisher unbekannter Fehler) im integrierten Triconex-Programm. Dadurch konnte der Code in den Speicher von Sicherheitssystemen eingegeben werden, wodurch jederzeit der Zugriff auf die Controller gewährleistet war. So könnten Angreifer befehlen, die Sicherheitssysteme herunterzufahren, und dann mit Hilfe anderer Schadprogramme eine unsichere Situation im Unternehmen provozieren.
Die Ergebnisse könnten fantastisch sein. Der schlimmste Arbeitsunfall ist auch mit dem Austreten giftiger Gase verbunden. Im Dezember 1984 setzte die Pestizidproduktionsanlage Union Carbide in Bhopal, Indien, eine riesige Wolke giftiger Dämpfe frei, die Tausende von Menschen tötete. Gründe: schlechter Service und menschlicher Faktor. Außerdem führten fehlerhafte und funktionsunfähige Sicherheitssysteme im Werk dazu, dass seine letzte Verteidigungslinie versagt hatte.
Noch größere Kampfbereitschaft
Es gab nicht viele Fälle, in denen Hacker versuchten, im Cyberspace körperlichen Schaden anzurichten. Zum Beispiel Stuxnet - Hunderte iranischer Atomzentrifugen gerieten außer Kontrolle und zerstörten sich selbst (2010). Ein weiteres Beispiel, CrashOverride, ist ein Hacker-Streik gegen das Energiesystem der Ukraine (2016). (Unsere Seitenleiste enthält eine Zusammenfassung dieser und einiger anderer cyber-physischer Angriffe.) *
Doch selbst der pessimistischste Cyber-
Kassander sah keine Malware wie Triton.
"Es schien nur, dass das Streben nach Sicherheitssystemen moralisch und technisch sehr schwierig war", erklärt Joe Slovick, ein ehemaliger Offizier der US-Marine, der jetzt bei Dragos arbeitet.
Andere Experten waren ebenfalls schockiert, als sie Neuigkeiten über den Killercode sahen.
"Selbst Stuxnet und andere Viren hatten noch nie eine so offensichtliche und eindeutige Absicht, Menschen zu verletzen", sagte Bradford Hegret, ein auf industrielle Cybersicherheit spezialisierter Accenture-Berater.
Höchstwahrscheinlich ist es kein Zufall, dass die Malware ans Licht kam, als Hacker aus Ländern wie Russland, Iran und Nordkorea
ihre Forschung zu den Sektoren der „kritischen Infrastruktur“ intensivierten . Öl- und Gasunternehmen, Elektrizitätsunternehmen und Verkehrsnetze sind für die moderne Wirtschaft von entscheidender Bedeutung.
In einer
Rede im vergangenen Jahr warnte Den Coats, Direktor des US-Geheimdienstes, dass die Gefahr eines Cyberangriffs, der die lebenswichtige Infrastruktur Amerikas lähmt, zunimmt. Er zog Parallelen zur Zunahme der Cyberaktivität terroristischer Gruppen, die vom US-Geheimdienst vor dem 11. September 2001 registriert wurden.
„Fast zwei Jahrzehnte später bin ich hier, um zu warnen, die Lichter blinken wieder rot. Heute wird die digitale Infrastruktur unseres Landes buchstäblich angegriffen “, sagte Coates.
Zuerst schien Triton das Werk des Iran zu sein, der der vereidigte Feind Saudi-Arabiens ist. In einem im vergangenen Oktober veröffentlichten Bericht beschuldigte FireEye, ein Informationssicherheitsunternehmen, das von Anfang an an den Ermittlungen beteiligt war, ein anderes Land: Russland.
Hacker testeten Elemente des Codes, um dessen Erkennung für das Antivirenprogramm zu einer unmöglichen Aufgabe zu machen. FireEye entdeckte eine Datei, die von Hackern im Unternehmensnetzwerk vergessen wurde, und konnte andere Dateien vom selben Prüfstand aus verfolgen. Sie enthielten mehrere Namen in kyrillischen Zeichen und eine IP-Adresse, mit der virenbezogene Vorgänge gestartet wurden.
Diese Adresse wurde beim Zentralforschungsinstitut für Chemie und Mechanik in Moskau registriert, einer Regierungsorganisation, die sich auf Schlüsselinfrastruktur und Arbeitssicherheit konzentriert. FireEye berichtete auch über Beweise, die auf die Beteiligung eines Professors an diesem Institut hinweisen. In dem Bericht wurde jedoch festgestellt, dass FireEye keine Beweise finden konnte, die eindeutig auf die Beteiligung des Instituts an der Entwicklung von Triton hinweisen könnten.
Die Forscher beschäftigen sich immer noch mit der Entstehung des Virus, so dass viel mehr Theorien über Autoren-Hacker entstehen können. Gatmanis möchte Unternehmen dabei helfen, wichtige Lehren aus den ähnlichen Erfahrungen der saudischen Fabrik zu ziehen. Auf der S4X19-Konferenz für Arbeitssicherheit im Januar stellte er einige davon vor. Beispielsweise ignorierte das Opfer des Triton-Angriffs zahlreiche durch Malware ausgelöste Virenalarme. Sie war auch nicht in der Lage, ungewöhnlichen Verkehr in ihren Netzwerken zu erkennen. Die Mitarbeiter ließen auch die physischen Tasten, die die Einstellungen in Triconex-Systemen steuern, an einer Position, die den Fernzugriff auf die Instrumentensoftware ermöglicht.
Dies mag nach einem hoffnungslosen Fall klingen, aber Gatmanis behauptet, dass dies nicht der Fall ist.
"Ich war in vielen amerikanischen Fabriken, die [in meinem Ansatz zur Cybersicherheit] um ein Vielfaches weniger ausgereift waren als diese Organisation", erklärt Gatmanis.
Triton: eine Zeitleiste
2014Hacker erhalten Zugang zum Unternehmensnetzwerk des Werks in Saudi-Arabien
Juni 2017Erster Produktionsstopp
August 2017Zweiter Produktionsstopp
Dezember 2017Cyber Attack Information veröffentlicht
Oktober 2018FireEye berichtet, dass Triton höchstwahrscheinlich in einem russischen Labor hergestellt wurde
Januar 2019Weitere Informationen zu Vorfällen werden angezeigt
Andere Experten stellen fest, dass Hacker, die für die Regierung arbeiten, bereit sind, relativ vage und schwer zu knackende Ziele zu verfolgen. Sicherheitssysteme wurden speziell zum Schutz einer Vielzahl von Prozessen entwickelt. Das Programmieren eines Virenprogramms erfordert daher viel Zeit und mühsame Arbeit. Der Triconex-Controller von Schneider Electric verfügt beispielsweise über viele verschiedene Modelle, von denen jedes eine andere Version der Firmware haben kann.
Die Tatsache, dass Hacker so hohe Kosten für die Entwicklung von Triton aufgewendet haben, war ein Weckruf für Schneider und andere Sicherheitsanbieter wie Emerson (USA) und Yokogawa (Japan). Schneider wurde dafür gelobt, dass er öffentlich Details über den Angriff von Hackern geteilt hatte, einschließlich der Berichterstattung über einen Zero-Day-Fehler, der anschließend behoben wurde. Während der Präsentation im Januar kritisierte Gatmanis das Unternehmen jedoch dafür, dass es nicht in der Lage war, unmittelbar nach dem Angriff mit Ermittlern zu interagieren.
Schneider wurde versichert, mit einem Unternehmen zusammengearbeitet zu haben, das ebenso eng mit dem Cyber angegriffen wurde wie mit dem US-amerikanischen Heimatschutzministerium und anderen Behörden, die die Untersuchung durchführten. Es wurden mehr Mitarbeiter eingestellt und die Sicherheit der verwendeten Firmware und Protokolle verbessert.
Andrew Kling, Geschäftsführer von Schneider, sagt, die wichtige Lehre aus diesem Vorfall sei, dass Unternehmen und Gerätehersteller Bereichen, in denen Kompromisse zu Katastrophen führen können, mehr Aufmerksamkeit schenken müssen, auch wenn ein Angriff auf sie sehr unwahrscheinlich erscheint. Zum Beispiel selten verwendete Softwareanwendungen und alte Protokolle, die die Interaktion von Instrumenten steuern.
"Sie könnten denken, dass niemand jemals von einem Verstoß gegen [ein] obskures Protokoll gestört wird, das nicht einmal dokumentiert ist", sagt Kling, "aber Sie müssen sich fragen, was die Konsequenzen wären, wenn sie es tun würden?"
Eine andere Zukunft?
In den letzten zehn Jahren haben Unternehmen allen Arten von Industrieanlagen Internet-Konnektivität und Sensoren hinzugefügt. Die gesammelten Daten werden für alles verwendet; Beginnend mit der Prophylaxe, dh durch maschinelles Lernen, um besser vorhersagen zu können, wann dieser prophylaktische Service benötigt wird, bis hin zur Feinabstimmung der Produktionsprozesse. Es wurde auch ein großer Schritt unternommen, um Prozesse mithilfe von Smartphones und Tablets fernzusteuern.
All dies kann das Geschäft viel effizienter und produktiver machen, was erklärt, warum laut der ARC-Gruppe, die den Markt überwacht, voraussichtlich rund 42 Milliarden Dollar für industrielle Internetgeräte ausgegeben werden. Zum Beispiel intelligente Sensoren und automatisierte Steuerungssysteme. Die Risiken liegen aber auch auf der Hand: Je mehr Ausrüstung angeschlossen ist, desto mehr Angreifer erhalten Ziele für Angriffe.
Um Cyberkriminelle abzuhalten, verlassen sich Unternehmen normalerweise auf eine Strategie, die als „Deep Defense“ bezeichnet wird: Sie schaffen mehrere Sicherheitsstufen und verwenden Firewalls, um Unternehmensnetzwerke vom Internet zu trennen. Die Aufgabe anderer Ebenen besteht darin, zu verhindern, dass Hacker auf Unternehmensnetzwerke und industrielle Steuerungssysteme zugreifen.
Zu den Schutzmethoden gehören auch Antiviren-Tools zum Erkennen von Viren und zunehmend KI-Software, die versucht, abnormales Verhalten in IT-Systemen zu erkennen.
Darüber hinaus werden Sicherheitskontrollsysteme und physische ausfallsichere Systeme als ultimativer Schutz verwendet. Die wichtigsten Systeme verfügen normalerweise über mehrere physische Kopien, um vor dem Ausfall eines Elements zu schützen.
Diese Strategie hat ihre Zuverlässigkeit bewiesen. Eine Zunahme der Anzahl von Hackern mit genügend Zeit, Geld und Motivation, um auf kritische Infrastrukturen abzuzielen, sowie eine Zunahme des Wachstums von Systemen mit Internetverbindung - all dies bedeutet, dass die Vergangenheit kein verlässlicher Leitfaden für die Zukunft sein kann.
Insbesondere Russland hat den Wunsch gezeigt, Software als Waffe gegen physische Ziele einzusetzen, mit denen es Cyberwaffen testen kann. Die Einführung von Triton in Saudi-Arabien zeigt, dass entschlossene Hacker bereit sind, jahrelang nach Wegen zu suchen, um all diese Schutzstufen zu überwinden.
Glücklicherweise wurden die Angreifer des Unternehmens in Saudi-Arabien abgefangen, und wir erfuhren viel mehr über ihre Funktionsweise. Dies ist eine ernüchternde Erinnerung daran, dass Hacker wie andere Entwickler auch Fehler machen. Was ist, wenn ein ungewollt eingeführter Fehler das Sicherheitssystem „neutralisiert“, anstatt Systeme sicher herunterzufahren, und dies genau in dem Moment, in dem ein Fehler oder ein menschlicher Faktor den lebenswichtigen Prozess unbrauchbar macht?
Experten, die an Orten wie dem US National Laboratory in Idaho arbeiten,
fordern Unternehmen dringend auf, alle ihre Prozesse im Lichte des Auftretens von Triton und anderer cyberphysikalischer Bedrohungen
zu überprüfen und digitale Pfade, über die Hacker Zugang zu wichtigen Prozessen erhalten können, drastisch zu reduzieren oder vollständig zu eliminieren .
Unternehmen müssen die Kosten tragen, aber Triton erinnert daran, dass die Risiken steigen. Gatmanis glaubt, dass neue Angriffe mit tödlichen Viren fast unvermeidlich sind.
"Obwohl dies das erste Mal war", sagt Gatmanis, "wäre ich sehr überrascht, wenn sich herausstellen würde, dass dies der erste und letzte Fall ist."
* Einige bemerkenswerte Cyberthreats (Vorsicht, Politik)2010 - StuxnetEntworfen von American Agency nat. Sicherheit zusammen mit dem israelischen Geheimdienst war der Virus ein Computerwurm - ein Code, der sich ohne menschliches Eingreifen von Computer zu Computer kopiert. Es ist sehr wahrscheinlich, dass es, geschmuggelt in einen USB-Stick, für speicherprogrammierbare Steuerungen gedacht war, die automatisierte Prozesse steuern. Das Virus provozierte die Zerstörung von Zentrifugen, mit denen Uran in einer Anlage im Iran angereichert wurde.
2013 - HavexHavex wurde zur Überwachung von Gerätesteuerungssystemen entwickelt. Vermutlich konnten Hacker dadurch genau herausfinden, wie der Angriff organisiert werden sollte. Der Code ist ein RAT
( Remote Access Trojan), mit dem Hacker Computer fernsteuern können. Das Virus war gegen Tausende von amerikanischen, europäischen und kanadischen Unternehmen gerichtet, insbesondere im Energie- und Petrochemiebereich.
2015 - BlackEnergyBlackEnergy, ein weiterer Trojaner, „drehte sich einige Zeit in der kriminellen Welt“, wurde dann aber von russischen Hackern angepasst, um einen Angriff auf mehrere ukrainische Energieunternehmen zu starten. Im Dezember 2015 half er, Stromausfälle zu provozieren. Der Virus wurde verwendet, um Informationen über die Systeme von Energieunternehmen zu sammeln und Mitarbeiteranmeldeinformationen zu stehlen.
2016 - CrashOverrideAuch als Industroyer bekannt. , . (« »), . , , . — .