Triton adalah virus paling mematikan

Halo, Habr! Ini adalah terjemahan amatir dari pesan “Triton adalah malware paling mematikan di dunia, dan penyebarannya” oleh Martin Giles , diterbitkan 5 Maret 2019. Semua ilustrasi dibuat oleh Ariel Davis.
Spoiler: Peretas Rusia sekali lagi dituduh melakukan serangan cyber.

Kode virus dapat menonaktifkan sistem keamanan yang dirancang untuk mencegah kecelakaan industri. Itu ditemukan di Timur Tengah, tetapi para peretas di belakangnya menargetkan perusahaan di Amerika Utara dan negara-negara lain.


Sebagai spesialis keamanan informasi yang berpengalaman, Julian Gatmanis telah membantu perusahaan menghadapi ancaman ancaman cyber berkali-kali. Tetapi ketika seorang konsultan keamanan Australia dipanggil untuk produksi petrokimia di Arab Saudi pada musim panas 2017, ia menemukan sesuatu yang membuat darahnya menjadi dingin.

Peretas memposting malware yang memungkinkan mereka untuk mengendalikan sistem keamanan industri. Regulator dan perangkat lunak terkait adalah garis pertahanan terakhir terhadap bencana yang mengancam jiwa. Diasumsikan bahwa mereka akan melakukan intervensi ketika kondisi berbahaya terdeteksi, dan mengembalikan proses ke tingkat yang aman atau mematikannya sepenuhnya dengan mengaktifkan mekanisme pelepas tekanan atau katup penutup.

Perangkat lunak berbahaya memungkinkan Anda untuk mengontrol sistem keamanan dari jarak jauh. Jika penyerang mematikan atau mengganggu pengoperasian sistem ini dan kemudian membuat peralatan tidak berfungsi dengan perangkat lunak lain, konsekuensinya bisa mengerikan. Untungnya, kesalahan dalam kode memberi peretas sebelum mereka dapat melakukan kerusakan. Respons keamanan pada Juni 2017 menyebabkan penghentian produksi. Kemudian, pada bulan Agustus, beberapa sistem lain dimatikan - ini memicu penghentian kerja lainnya.

Kecelakaan pertama secara keliru dikaitkan dengan kegagalan mekanika; setelah kecelakaan kedua, pemilik memanggil para ahli untuk menyelidiki. Mereka menemukan virus yang dijuluki Triton (kadang-kadang disebut Trisis). Dia membidik model pengontrol Triconex, yang diciptakan oleh perusahaan Perancis Schneider Electric.

Dalam skenario kasus terburuk, kode virus dapat menyebabkan pelepasan hidrogen sulfida atau menyebabkan ledakan, membahayakan kehidupan di tempat kerja dan di sekitarnya.

Gatmanis ingat bahwa untuk menangani virus dalam produksi dimulai kembali setelah kecelakaan kedua adalah masalah yang sama.

“Kami tahu bahwa kami tidak dapat mengandalkan integritas sistem keamanan. Itu lebih buruk dari sebelumnya. "

Menyerang pabrik, peretas melintasi Rubicon yang menakutkan. Untuk pertama kalinya, dunia cybersecurity dihadapkan dengan kode yang secara khusus dirancang untuk mengekspos kehidupan manusia terhadap risiko kematian. Sistem keamanan semacam itu dapat ditemukan tidak hanya di industri petrokimia; ini adalah perbatasan terakhir dalam segala hal mulai dari transportasi atau instalasi pengolahan air hingga pembangkit listrik tenaga nuklir.

Penemuan Triton menimbulkan pertanyaan tentang bagaimana peretas dapat masuk ke sistem kritis misi ini. Fasilitas industri mengintegrasikan komunikasi ke dalam semua jenis peralatan - sebuah fenomena yang dikenal sebagai Internet of things. Koneksi ini memungkinkan pekerja untuk mengontrol perangkat dari jarak jauh, mengumpulkan data dengan cepat dan membuat operasi lebih efisien, tetapi pada saat yang sama, peretas mendapatkan lebih banyak target potensial.

Pencipta Triton sekarang sedang berburu korban baru. Dragos, sebuah perusahaan yang berspesialisasi dalam cybersecurity industri, mengklaim bahwa bukti telah muncul selama setahun terakhir bahwa sekelompok peretas menggunakan metode intelijen digital yang sama untuk mendeteksi target di luar Timur Tengah, termasuk Amerika Utara. Mereka membuat variasi kode yang dapat membahayakan lebih banyak sistem keamanan.

Memerangi kesiapan

Berita tentang keberadaan Triton muncul pada bulan Desember 2017, meskipun fakta bahwa data pribadi pemilik dirahasiakan. (Gatmanis dan pakar lain yang terlibat dalam penyelidikan menolak menyebutkan nama perusahaan karena khawatir hal ini dapat mencegah korban di masa depan untuk secara pribadi berbagi informasi tentang serangan cyber.)

Selama beberapa tahun terakhir, perusahaan yang berspesialisasi dalam keamanan informasi telah mengejar virus dan berusaha mencari tahu siapa yang berada di balik perkembangannya. Investigasi mereka melukiskan gambaran yang mengkhawatirkan: senjata cyber yang canggih dibuat dan di-host oleh sekelompok peretas yang tekun dan sabar yang identitasnya masih belum diketahui .

Peretas muncul di dalam jaringan perusahaan dari sebuah perusahaan petrokimia pada tahun 2014. Sejak itu, mereka telah menemukan jalan ke jaringan produksi perusahaan, kemungkinan besar melalui kerentanan di firewall yang dikonfigurasi dengan buruk yang tugasnya adalah untuk mencegah akses tidak sah. Mereka memasuki workstation teknik, atau menggunakan kesalahan yang tidak diperbaiki dalam kode Windows, memotong data karyawan.

Karena workstation terhubung ke sistem keamanan perusahaan, peretas dapat mempelajari model sistem pengontrol perangkat keras, serta versi perangkat lunak yang dibangun ke dalam memori instrumen dan mempengaruhi transfer informasi di antara mereka.

Mereka mungkin kemudian memperoleh model pengontrol yang sama dan menggunakannya untuk menguji malware. Ini memungkinkan untuk meniru protokol dan menetapkan aturan digital yang memungkinkan stasiun kerja teknik berinteraksi dengan sistem keamanan. Peretas juga menemukan "kerentanan nol hari" (bug yang sebelumnya tidak diketahui) dalam program bawaan Triconex. Ini memungkinkan kode untuk dimasukkan ke dalam memori sistem keamanan, yang menjamin akses ke pengendali kapan saja. Dengan demikian, penyerang dapat memerintahkan sistem keamanan untuk dimatikan, dan kemudian dengan bantuan program jahat lainnya memprovokasi situasi yang tidak aman di perusahaan.

Hasilnya bisa luar biasa. Kecelakaan industri terburuk juga terkait dengan kebocoran gas beracun. Pada bulan Desember 1984, pabrik penghasil pestisida Union Carbide di Bhopal, India mengeluarkan awan besar asap beracun - menewaskan ribuan orang. Alasan: layanan yang buruk dan faktor manusia. Juga, sistem keselamatan yang rusak dan tidak beroperasi di pabrik berarti bahwa garis pertahanan terakhirnya telah gagal.

Kesiapan tempur bahkan lebih besar

Tidak banyak kasus di mana peretas mencoba melakukan kerusakan fisik menggunakan dunia maya. Sebagai contoh, Stuxnet - ratusan sentrifugal nuklir Iran keluar dari kendali dan dihancurkan sendiri (2010). Contoh lain, CrashOverride adalah serangan hacker pada sistem energi Ukraina (2016). (Bilah sisi kami berisi ringkasan dari ini dan beberapa serangan fisik-cyber lainnya.) *

Namun, bahkan cyber- Kassander yang paling pesimistis tidak melihat malware seperti Triton.

"Sepertinya membidik sistem keamanan sulit secara moral dan sangat sulit secara teknis," jelas Joe Slovick, mantan perwira Angkatan Laut AS yang sekarang bekerja di Dragos.

Pakar lain juga terkejut melihat berita tentang kode pembunuh.

"Bahkan Stuxnet dan virus lain tidak pernah memiliki niat yang begitu terang-terangan dan tegas untuk melukai orang," kata Bradford Hegret, seorang konsultan Accenture yang berspesialisasi dalam keamanan dunia maya industri.

Kemungkinan besar, bukan kebetulan bahwa malware itu terungkap ketika peretas dari negara-negara seperti Rusia, Iran dan Korea Utara mengintensifkan penelitian mereka pada sektor-sektor “infrastruktur kritis” . Perusahaan minyak dan gas, perusahaan listrik, jaringan transportasi sangat penting bagi perekonomian modern.

Dalam pidatonya tahun lalu, Den Coats, direktur intelijen AS, memperingatkan bahwa ancaman serangan dunia maya yang melumpuhkan infrastruktur vital Amerika semakin meningkat. Dia menarik paralel dengan peningkatan aktivitas cyber kelompok teroris yang terdaftar oleh intelijen AS sebelum 11 September 2001.

“Hampir dua dekade kemudian, saya di sini untuk memberi peringatan, lampu berkedip merah lagi. Hari ini, infrastruktur digital yang melayani negara kita benar-benar diserang, ”kata Coates.

Mula-mula tampaknya Triton adalah karya Iran, yang merupakan musuh bebuyutan Arab Saudi. Dalam sebuah laporan yang dirilis Oktober lalu, FireEye, sebuah perusahaan keamanan informasi yang terlibat dalam penyelidikan sejak awal, menyalahkan negara lain: Rusia.

Peretas menguji elemen-elemen kode untuk membuat pendeteksiannya menjadi tugas yang mustahil untuk antivirus. FireEye menemukan file yang dilupakan oleh peretas di jaringan perusahaan dan dapat melacak file lain dari bangku tes yang sama. Mereka berisi beberapa nama dalam karakter Cyrillic dan alamat IP yang digunakan untuk memulai operasi terkait virus.

Alamat ini terdaftar di Lembaga Penelitian Pusat Kimia dan Mekanik di Moskow, sebuah organisasi pemerintah yang berfokus pada infrastruktur utama dan keselamatan industri. FireEye juga melaporkan bukti yang mengindikasikan keterlibatan seorang profesor di institut ini. Namun demikian, laporan tersebut mencatat bahwa FireEye tidak dapat menemukan bukti yang jelas dapat menunjukkan keterlibatan lembaga dalam pengembangan Triton.

Para peneliti masih menyelidiki asal-usul virus, sehingga lebih banyak teori yang bisa muncul tentang peretas penulis. Gatmanis, sementara itu, ingin membantu perusahaan mempelajari pelajaran penting dari pengalaman serupa pabrik Saudi. Pada Konferensi Keselamatan Industri S4X19 Januari, dia menjabarkan beberapa di antaranya. Misalnya, korban serangan Triton mengabaikan banyak alarm antivirus yang dipicu oleh malware; dia juga tidak dapat mendeteksi lalu lintas yang tidak biasa dalam jaringannya. Pekerja juga meninggalkan kunci fisik yang mengontrol pengaturan di sistem Triconex dalam posisi yang memungkinkan akses jarak jauh ke perangkat lunak instrumen.

Ini mungkin terdengar seperti kasus tanpa harapan, tetapi Gatmanis mengklaim bahwa itu bukan.

“Saya berada di banyak pabrik Amerika yang beberapa kali kurang matang [dalam pendekatan saya terhadap keamanan siber] daripada organisasi ini,” jelas Gatmanis.

---

Triton: garis waktu

2014
Peretas mendapatkan akses ke jaringan perusahaan dari pabrik di Arab Saudi

Juni 2017
Produksi pertama berhenti

Agustus 2017
Produksi kedua berhenti

Desember 2017
Informasi Serangan Cyber ​​Diterbitkan

Oktober 2018
FireEye melaporkan bahwa Triton kemungkinan besar diciptakan di laboratorium Rusia

Januari 2019
Muncul Lebih Banyak Informasi Insiden

---

Pakar lain mencatat bahwa peretas yang bekerja untuk pemerintah siap mengejar target yang relatif tidak jelas dan sulit ditembus. Sistem keamanan dirancang khusus untuk melindungi berbagai proses, sehingga pemrograman program virus membutuhkan banyak waktu dan kerja keras. Pengontrol Triconex dari Schneider Electric, misalnya, memiliki banyak model berbeda, dan masing-masing dari mereka dapat memiliki versi firmware yang berbeda.

Fakta bahwa peretas menghabiskan biaya tinggi untuk mengembangkan Triton adalah panggilan untuk Schneider dan vendor keamanan lainnya seperti Emerson (AS) dan Yokogawa (Jepang). Schneider dipuji karena secara terbuka berbagi rincian tentang serangan oleh peretas, termasuk cakupan kesalahan nol hari, yang kemudian diperbaiki. Namun, selama presentasi Januari, Gatmanis mengkritik perusahaan karena tidak dapat berinteraksi dengan penyelidik segera setelah serangan itu.

Schneider diyakinkan bahwa mereka telah berkolaborasi dengan perusahaan yang diserang cyber seperti halnya dengan Departemen Keamanan Dalam Negeri AS dan agen-agen lain yang melakukan penyelidikan. Lebih banyak orang dipekerjakan dan keamanan firmware dan protokol yang digunakan ditingkatkan.

Andrew Kling, kepala eksekutif Schneider, mengatakan pelajaran penting yang dipetik dari kejadian ini adalah bahwa perusahaan dan produsen peralatan perlu lebih memperhatikan area di mana kompromi dapat menyebabkan bencana, bahkan jika serangan terhadap mereka tampaknya sangat tidak mungkin. Misalnya, jarang menggunakan aplikasi perangkat lunak dan protokol lama yang mengontrol interaksi instrumen.

"Anda mungkin berpikir bahwa tidak ada yang akan terganggu oleh pelanggaran [beberapa] protokol tidak jelas yang bahkan tidak didokumentasikan," kata Kling, "tetapi Anda harus bertanya apa konsekuensinya jika mereka melakukannya?"

Masa depan yang berbeda?

Selama dekade terakhir, perusahaan telah menambahkan konektivitas dan sensor internet ke semua jenis peralatan industri. Data yang dikumpulkan digunakan untuk semuanya; dimulai dengan profilaksis, yang berarti menggunakan pembelajaran mesin untuk memprediksi dengan lebih baik kapan layanan profilaksis ini diperlukan, berakhir dengan proses produksi fine-tuning. Langkah besar juga telah diambil untuk mengontrol proses dari jarak jauh menggunakan smartphone dan tablet.

Semua ini dapat membuat bisnis jauh lebih efisien dan produktif, yang menjelaskan mengapa, menurut Grup ARC, yang memantau pasar, diharapkan menghabiskan sekitar 42 miliar dolar untuk peralatan Internet industri; misalnya, sensor cerdas dan sistem kontrol otomatis. Tetapi risikonya juga jelas: semakin banyak peralatan terhubung, semakin banyak penyerang menerima target serangan.

Untuk mencegah penjahat cyber, bisnis biasanya mengandalkan strategi yang dikenal sebagai "pertahanan mendalam": mereka menciptakan beberapa tingkat keamanan dan menggunakan firewall untuk memisahkan jaringan perusahaan dari Internet. Tugas tingkat lain adalah untuk mencegah peretas mengakses jaringan perusahaan dan sistem kontrol industri.

Metode perlindungan juga mencakup alat antivirus untuk mendeteksi virus, dan semakin banyak, perangkat lunak AI yang mencoba mengenali perilaku abnormal dalam sistem TI.

Selain itu, sistem kontrol keamanan dan sistem gagal-fisik fisik digunakan sebagai perlindungan utama. Sistem yang paling penting biasanya memiliki beberapa salinan fisik untuk melindungi terhadap kegagalan suatu elemen.

Strategi ini telah membuktikan keandalannya. Tetapi peningkatan jumlah peretas dengan waktu, uang, dan motivasi yang cukup untuk menargetkan infrastruktur kritis, serta peningkatan pertumbuhan sistem yang terhubung ke Internet - semua ini berarti bahwa masa lalu tidak dapat menjadi panduan yang dapat diandalkan untuk masa depan.

Rusia, khususnya, telah menunjukkan keinginan untuk menggunakan perangkat lunak sebagai senjata melawan target fisik yang dapat digunakan untuk menguji senjata cyber. Pengenalan Triton di Arab Saudi menunjukkan bahwa peretas yang gigih bersedia menghabiskan waktu bertahun-tahun mencari cara untuk melewati semua tingkat perlindungan ini.

Untungnya, para penyerang di perusahaan di Arab Saudi dicegat, dan kami belajar lebih banyak tentang bagaimana mereka bekerja. Ini adalah pengingat serius bahwa peretas, seperti pengembang lain, juga membuat kesalahan. Bagaimana jika bug yang diperkenalkan secara tidak sengaja, alih-alih mematikan sistem dengan aman, "menetralkan" sistem keamanan, dan ini terjadi tepat pada saat kesalahan atau faktor manusia membuat proses vital tidak berguna?

Para ahli yang bekerja di tempat-tempat seperti Laboratorium Nasional AS di Idaho mendesak perusahaan untuk meninjau semua proses mereka mengingat munculnya Triton dan ancaman cyberfisik lainnya, serta secara radikal mengurangi atau sepenuhnya menghilangkan jalur digital di mana peretas dapat memperoleh akses ke proses penting .

Perusahaan harus menanggung biayanya, tetapi Triton mengingatkan bahwa risikonya meningkat. Gatmanis percaya bahwa serangan baru menggunakan virus mematikan hampir tidak bisa dihindari.

"Meskipun ini adalah pertama kalinya," kata Gatmanis, "Saya akan sangat terkejut jika ini ternyata menjadi kasus pertama dan terakhir"

---