Triton é o vírus mais mortal

Olá Habr! Esta é uma tradução amadora da mensagem "Triton é o malware mais assassino do mundo, e está se espalhando" por Martin Giles , publicado em 5 de março de 2019. Todas as ilustrações foram criadas por Ariel Davis.
Spoiler: Os hackers russos são novamente acusados ​​de ataques cibernéticos.

O código de vírus pode desativar os sistemas de segurança projetados para evitar acidentes industriais. Foi descoberto no Oriente Médio, mas os hackers por trás dele têm como alvo empresas na América do Norte e em outros países.


Como especialista experiente em segurança da informação, Julian Gatmanis ajudou as empresas a lidar com ameaças de ameaças cibernéticas muitas vezes. Mas quando um consultor de segurança australiano foi chamado para uma produção petroquímica na Arábia Saudita no verão de 2017, ele descobriu algo que fazia seu sangue gelar.

Os hackers publicaram malware que lhes permitia controlar os sistemas de segurança industrial. Reguladores e softwares relacionados são a última linha de defesa contra desastres com risco de vida. Supõe-se que eles intervirão quando condições perigosas forem detectadas e retornam os processos a um nível seguro ou os desligam completamente, ativando mecanismos de alívio de pressão ou fechando as válvulas.

O software malicioso permite controlar os sistemas de segurança remotamente. Se os invasores desligarem ou interferirem na operação desses sistemas e fizerem o equipamento funcionar mal com outro software, as consequências podem ser horríveis. Felizmente, um erro no código deu aos hackers antes que eles pudessem causar algum dano. Uma resposta de segurança em junho de 2017 levou a uma interrupção na produção. Mais tarde, em agosto, vários outros sistemas foram desativados - isso provocou outra parada de trabalho.

O primeiro acidente foi erroneamente atribuído a uma falha na mecânica; após o segundo acidente, os proprietários chamaram especialistas para investigar. Eles descobriram um vírus que foi apelidado de Triton (às vezes chamado Trisis). Ele apontou para o modelo de controlador Triconex, criado pela empresa francesa Schneider Electric.

Na pior das hipóteses, o código viral pode levar à liberação de sulfeto de hidrogênio ou causar explosões, colocando em risco a vida no local de trabalho e nas áreas circundantes.

Gatmanis lembrou que lidar com o vírus na produção reiniciada após o segundo acidente era o mesmo aborrecimento.

“Sabíamos que não podíamos confiar na integridade dos sistemas de segurança. Foi pior do que nunca.

Atacando a fábrica, hackers cruzaram o assustador Rubicon. Pela primeira vez, o mundo da cibersegurança se deparou com um código que foi projetado especificamente para colocar as pessoas em risco mortal. Tais sistemas de segurança podem ser encontrados não apenas na indústria petroquímica; esta é a última fronteira em tudo, desde as estações de transporte ou tratamento de água até as usinas nucleares.

A descoberta de Triton levanta questões sobre como os hackers conseguiram entrar nesses sistemas de missão crítica. As instalações industriais integram as comunicações em todos os tipos de equipamentos - um fenômeno conhecido como Internet das coisas. Essa conexão permite que os funcionários controlem remotamente os dispositivos, coletem dados rapidamente e tornem as operações mais eficientes, mas, ao mesmo tempo, os hackers conseguem alvos em potencial.

Os criadores de Triton estão agora à procura de novas vítimas. A Dragos, empresa especializada em segurança cibernética industrial, afirma que surgiram evidências no ano passado de que um grupo de hackers usa os mesmos métodos de inteligência digital para detectar alvos fora do Oriente Médio, incluindo a América do Norte. Eles criam variações de código que podem comprometer mais sistemas de segurança.

Prontidão de combate

As notícias sobre a existência de Triton apareceram em dezembro de 2017, apesar dos dados pessoais do proprietário terem sido mantidos em segredo. (Gatmanis e outros especialistas envolvidos na investigação se recusaram a nomear a empresa por medo de que isso pudesse desencorajar futuras vítimas de compartilhar informações privadas sobre ataques cibernéticos.)

Nos últimos dois anos, as empresas especializadas em segurança da informação estão perseguindo o vírus e tentando descobrir quem está por trás de seu desenvolvimento. A investigação deles mostra um quadro alarmante: uma sofisticada arma cibernética é criada e hospedada por um grupo de hackers determinados e pacientes cujas identidades ainda são desconhecidas .

Os hackers apareceram dentro da rede corporativa de uma empresa petroquímica em 2014. Desde então, encontraram uma maneira de entrar na rede de produção corporativa, provavelmente através de uma vulnerabilidade em um firewall mal configurado cuja tarefa é impedir o acesso não autorizado. Eles entraram na estação de trabalho de engenharia ou usando um erro não corrigido no código do Windows, interceptando quaisquer dados de funcionários.

Como a estação de trabalho foi conectada ao sistema de segurança da empresa, os hackers puderam estudar o modelo dos sistemas de controlador de hardware, bem como as versões de software incorporadas na memória do instrumento e afetando a transferência de informações entre eles.

Eles provavelmente adquiriram o mesmo modelo de controlador e o usaram para testar o malware. Isso tornou possível imitar o protocolo e estabelecer regras digitais que permitem que uma estação de trabalho de engenharia interaja com sistemas de segurança. Os hackers também descobriram uma “vulnerabilidade de dia zero” (bug anteriormente desconhecido) no programa interno do Triconex. Isso permitiu que o código fosse inserido na memória dos sistemas de segurança, o que garantia o acesso aos controladores a qualquer momento. Assim, os invasores podem ordenar o desligamento dos sistemas de segurança e, com a ajuda de outros programas maliciosos, provocar uma situação insegura na empresa.

Os resultados podem ser impressionantes. O pior acidente industrial também está associado ao vazamento de gases tóxicos. Em dezembro de 1984, a planta produtora de pesticidas da Union Carbide em Bhopal, na Índia, lançou uma enorme nuvem de fumaça tóxica - matando milhares de pessoas. Razões: mau atendimento e fator humano. Além disso, sistemas de segurança defeituosos e inoperantes na fábrica significavam que sua última linha de defesa havia falhado.

Prontidão de combate ainda maior

Não houve muitos casos em que hackers tentaram causar danos físicos usando o ciberespaço. Por exemplo, Stuxnet - centenas de centrífugas nucleares iranianas ficaram fora de controle e se autodestruíram (2010). Outro exemplo, CrashOverride é um ataque de hackers ao sistema de energia da Ucrânia (2016). (Nossa barra lateral contém um resumo desses e de outros ataques ciber-físicos.) *

No entanto, mesmo o ciber- Kassander mais pessimista não viu malware como o Triton.

"Parecia que visar os sistemas de segurança era difícil moralmente e tecnicamente", explica Joe Slovick, ex-oficial da Marinha dos EUA que agora trabalha na Dragos.

Outros especialistas também ficaram chocados ao ver notícias do código assassino.

"Mesmo o Stuxnet e outros vírus nunca tiveram uma intenção tão flagrante e inequívoca de ferir pessoas", disse Bradford Hegret, consultor da Accenture especializado em segurança cibernética industrial.

Provavelmente, não é coincidência que o malware tenha surgido quando hackers de países como Rússia, Irã e Coréia do Norte intensificaram suas pesquisas nos setores de “infraestrutura crítica” . Empresas de petróleo e gás, empresas de eletricidade e redes de transporte são vitais para a economia moderna.

Em um discurso no ano passado, Den Coats, diretor de inteligência dos EUA, alertou que a ameaça de um ataque cibernético que paralisa a infraestrutura vital dos EUA está aumentando. Ele traçou paralelos com o aumento da atividade cibernética de grupos terroristas registrados pela inteligência dos EUA antes de 11 de setembro de 2001.

“Quase duas décadas depois, estou aqui para avisar, as luzes piscam novamente em vermelho. Hoje, a infraestrutura digital que atende nosso país está literalmente sob ataque ”, disse Coates.

A princípio, parecia que Tritão era obra do Irã, inimigo inimigo da Arábia Saudita. Em um relatório divulgado em outubro passado, a FireEye, empresa de segurança da informação envolvida na investigação desde o início, culpou outro país: a Rússia.

Os hackers testaram elementos do código para tornar sua detecção uma tarefa impossível para o antivírus. O FireEye descobriu um arquivo esquecido por hackers na rede corporativa e conseguiu rastrear outros arquivos do mesmo banco de testes. Eles continham vários nomes em caracteres cirílicos e um endereço IP usado para iniciar operações relacionadas a vírus.

Este endereço foi registrado no Instituto Central de Pesquisa de Química e Mecânica de Moscou, uma organização governamental com foco nas principais infraestruturas e segurança industrial. O FireEye também relatou evidências que indicaram o envolvimento de um professor neste instituto. No entanto, o relatório observou que o FireEye não conseguiu encontrar evidências que pudessem indicar inequivocamente o envolvimento do instituto no desenvolvimento de Triton.

Os pesquisadores ainda estão investigando a origem do vírus, e muito mais teorias podem surgir sobre os hackers de autor. Enquanto isso, Gatmanis quer ajudar as empresas a aprender lições importantes da experiência semelhante da fábrica saudita. Na Conferência de Segurança Industrial S4X19 de janeiro, ele descreveu alguns deles. Por exemplo, a vítima do ataque de Triton ignorou vários alarmes antivírus acionados por malware; ela também não conseguiu detectar tráfego incomum em suas redes. Os trabalhadores também deixaram as teclas físicas que controlam as configurações nos sistemas Triconex em uma posição que permite acesso remoto ao software do instrumento.

Isso pode parecer um caso sem esperança, mas Gatmanis afirma que não.

"Eu estava em muitas fábricas americanas que eram várias vezes menos maduras [na minha abordagem à segurança cibernética] do que nesta organização", explica Gatmanis.

---

Tritão: uma linha do tempo

2014
Hackers obtêm acesso à rede corporativa da fábrica na Arábia Saudita

Junho 2017
Primeira parada da produção

Agosto de 2017
Segunda parada de produção

Dezembro 2017
Publicadas informações sobre o ataque cibernético

Outubro 2018
O FireEye relata que o Triton provavelmente foi criado em um laboratório russo

Janeiro 2019
Mais informações sobre incidentes são exibidas

---

Outros especialistas observam que os hackers que trabalham para o governo estão prontos para perseguir alvos relativamente vagos e difíceis de quebrar. Os sistemas de segurança são projetados especialmente para proteger uma variedade de processos; portanto, programar um programa de vírus requer muito tempo e trabalho minucioso. O controlador Triconex da Schneider Electric, por exemplo, possui muitos modelos diferentes e cada um deles pode ter uma versão diferente do firmware.

O fato de os hackers terem custado um custo tão alto para desenvolver o Triton foi um alerta para Schneider e outros fabricantes de segurança como Emerson (EUA) e Yokogawa (Japão). Schneider foi elogiado por ter compartilhado publicamente detalhes sobre o ataque de hackers, incluindo a cobertura de um erro de dia zero, que foi corrigido posteriormente. No entanto, durante a apresentação de janeiro, Gatmanis criticou a empresa por não conseguir interagir com os investigadores imediatamente após o ataque.

A Schneider teve certeza de que havia colaborado com uma empresa que sofreu ataques cibernéticos tão estreitamente quanto com o Departamento de Segurança Interna dos EUA e outras agências de investigação. Mais pessoas foram contratadas e a segurança do firmware e dos protocolos utilizados foi aprimorada.

Andrew Kling, executivo-chefe da Schneider, diz que a importante lição aprendida com esse incidente é que as empresas e os fabricantes de equipamentos precisam prestar mais atenção às áreas em que o comprometimento pode levar ao desastre, mesmo que um ataque a eles pareça muito improvável. Por exemplo, aplicativos de software raramente usados ​​e protocolos antigos que controlam as interações com instrumentos.

"Você pode pensar que ninguém jamais será incomodado por uma violação de [algum] protocolo obscuro que nem sequer está documentado", diz Kling, "mas você precisa perguntar quais seriam as consequências se o fizessem?"

Um futuro diferente?

Na última década, as empresas adicionaram conectividade à Internet e sensores para todos os tipos de equipamentos industriais. Os dados coletados são usados ​​para tudo; começando com a profilaxia, o que significa usar o aprendizado de máquina para prever melhor quando esse serviço profilático será necessário, terminando com os processos de produção de ajuste fino. Também foi dado um grande passo para controlar processos remotamente usando smartphones e tablets.

Tudo isso pode tornar o negócio muito mais eficiente e produtivo, o que explica por que, segundo o ARC Group, que monitora o mercado, espera-se gastar cerca de 42 bilhões de dólares em equipamentos industriais de Internet; por exemplo, sensores inteligentes e sistemas de controle automatizados. Mas os riscos também são óbvios: quanto mais equipamentos estiverem conectados, mais atacantes receberão alvos para ataques.

Para deter os cibercriminosos, as empresas geralmente confiam em uma estratégia conhecida como "defesa profunda": elas criam vários níveis de segurança e usam firewalls para separar as redes corporativas da Internet. A tarefa de outros níveis é impedir que hackers acessem redes corporativas e sistemas de controle industrial.

Os métodos de proteção também incluem ferramentas antivírus para detectar vírus e, cada vez mais, software de IA que tenta reconhecer comportamentos anormais nos sistemas de TI.

Além disso, sistemas de controle de segurança e sistemas físicos à prova de falhas são usados ​​como proteção máxima. Os sistemas mais importantes geralmente possuem várias cópias físicas para proteger contra a falha de um elemento.

Essa estratégia comprovou sua confiabilidade. Mas um aumento no número de hackers com tempo, dinheiro e motivação suficientes para atingir a infraestrutura crítica, bem como um aumento no crescimento de sistemas conectados à Internet - tudo isso significa que o passado não pode ser um guia confiável para o futuro.

A Rússia, em particular, demonstrou desejo de usar o software como arma contra alvos físicos que pode ser usada para testar armas cibernéticas. A introdução do Triton na Arábia Saudita mostra que hackers determinados estão dispostos a passar anos procurando maneiras de passar por todos esses níveis de proteção.

Felizmente, os atacantes da empresa na Arábia Saudita foram interceptados e aprendemos muito mais sobre como eles funcionavam. Este é um lembrete preocupante de que hackers, como outros desenvolvedores, também cometem erros. E se um bug introduzido não intencionalmente, em vez de desligar sistemas com segurança, "neutraliza" o sistema de segurança, e isso acontece exatamente no momento em que um erro ou fator humano torna inútil o processo vital?

Especialistas que trabalham em locais como o Laboratório Nacional dos EUA em Idaho instam as empresas a revisar todos os seus processos à luz do surgimento de Triton e outras ameaças ciberfísicas, além de reduzir drasticamente ou eliminar completamente os caminhos digitais pelos quais os hackers podem obter acesso a processos vitais .

As empresas terão que arcar com os custos, mas Triton é um lembrete de que os riscos estão aumentando. Gatmanis acredita que novos ataques usando vírus mortais são quase inevitáveis.

“Embora essa tenha sido a primeira vez”, diz Gatmanis, “eu ficaria muito surpreso se esse fosse o primeiro e o último caso”

---