Análisis de malware

El malware Triton ataca infraestructuras críticas en Arabia Saudita

diciembre 18, por Admin

Los expertos en seguridad de FireEye descubrieron una nueva pieza de malware, rastreada como Triton, que está diseñada específicamente para atacar sistemas de control industrial (ICS).

El malware Triton se ha utilizado en ataques dirigidos a una organización de infraestructura crítica anónima en Arabia Saudita; la naturaleza del objetivo y la falta de motivación financiera (es decir, extorsión) sugieren la participación de un actor-estado-nación.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Los investigadores de la empresa de seguridad Dragos también detectaron el malware en la naturaleza y lo analizaron; los resultados de su investigación se hicieron públicos en un interesante informe.

Si bien Dragos evitó atribuir el ataque a una entidad específica, FireEye especula que la actividad observada es consistente con muchos ataques y actividades de reconocimiento llevados a cabo a nivel mundial previamente atribuidos a actores estatales rusos, iraníes, estadounidenses, norcoreanos e israelíes.

Los expertos especularon que la actividad que observaron era parte de la fase de reconocimiento, probablemente el actor de la amenaza estaba desarrollando una capacidad de sabotaje y sin darse cuenta desencadenó operaciones de cierre.

Esto es muy importante, porque unas horas más tarde, otra empresa cibernética vinculó el malware a un gobierno específico, pero la atribución fue criticada por algunos expertos en ciberseguridad.

Los autores del malware Triton tenían como objetivo los controladores del sistema instrumentado de seguridad (SIS) Triconex de Schneider Electric que se utilizan en entornos industriales para monitorear el estado de un proceso y restaurarlo a un estado seguro o apagarlo de manera segura si los parámetros indican una situación potencialmente peligrosa. .

“Mandiant respondió recientemente a un incidente en una organización de infraestructura crítica donde un atacante implementó malware diseñado para manipular sistemas de seguridad industrial. Los sistemas objetivo proporcionaron capacidad de apagado de emergencia para procesos industriales”, se lee en el análisis publicado por FireEye.

“Evaluamos con confianza moderada que el atacante estaba desarrollando la capacidad de causar daño físico y cerrar operaciones inadvertidamente. Este malware, al que llamamos TRITON, es un marco de ataque creado para interactuar con los controladores del Sistema Instrumentado de Seguridad (SIS) Triconex”.

1: Sistema instrumentado de seguridad Triconex

Según FireEye, el atacante obtuvo acceso remoto a una estación de trabajo de ingeniería del SIS; luego desplegaron el malware TRITON para reprogramar los controladores, circunstancia que indica que los atacantes tenían un profundo conocimiento de dichos sistemas.

Los atacantes se dirigieron a una estación de trabajo de ingeniería basada en Windows; el código malicioso agregó sus propios programas a la tabla de ejecución. En caso de falla, el malware intenta devolver el controlador a un estado de ejecución; también sobrescribe el programa malicioso con datos basura si el intento falla, lo que probablemente elimine cualquier rastro del ataque.

Esto implica que los atacantes preconstruyeron y probaron la herramienta que requeriría acceso a hardware y software que no está ampliamente disponible.

Durante esta fase del ataque, algunos controladores del SIS entraron en un estado de seguridad fallido, lo que cerró automáticamente el proceso industrial e incitó al operador del activo a investigar el incidente.

TRITON está diseñado para comunicarse utilizando el protocolo propietario TriStation que no está documentado públicamente, una circunstancia que sugiere que los atacantes realizaron ingeniería inversa al protocolo para llevar a cabo el ataque.

El malware Triton interactúa con los controladores Triconex SIS; puede leer y escribir programas y funciones hacia y desde el controlador.

“TRITON se implementó en una estación de trabajo de ingeniería SIS que ejecuta el sistema operativo Microsoft Windows. El malware fue nombrado para hacerse pasar por la aplicación Triconex Trilog legítima. Esta aplicación se utiliza para revisar registros y es parte del conjunto de aplicaciones TriStation”, continúa FireEye .

“El malware se entregó como un script de Python compilado Py2EXE que depende de un archivo zip que contiene bibliotecas estándar de Python, bibliotecas de código abierto, así como el marco de ataque Triconex desarrollado por el atacante para interactuar con los controladores Triconex. Junto con el ejecutable, dos archivos binarios , inject.bin (código de función malicioso) e imain.bin (lógica de control malicioso) se implementaron como carga útil del controlador. Estos nombres de archivos estaban codificados en el script de Python compilado Py2EXE.

2: Arquitectura de referencia de ICS (Informe FireEye)

El ataque contra un controlador del SIS es muy peligroso; una vez que se ha visto comprometido, el atacante puede reprogramar el dispositivo para activar un estado seguro con un impacto severo en las operaciones del entorno objetivo. Los atacantes también podrían reprogramar el controlador SIS para evitar desencadenar acciones cuando los parámetros asuman valores peligrosos.

“El atacante apuntó al SIS, lo que sugiere un interés en provocar un ataque de alto impacto con consecuencias físicas. Este es un objetivo de ataque que no suele verse en los grupos de delitos cibernéticos”, continúa FireEye .

“Si los controles del SIS y DCS fallan, la última línea de defensa es el diseño de la instalación industrial, que incluye protecciones mecánicas en los equipos (por ejemplo, discos de ruptura), alarmas físicas, procedimientos de respuesta a emergencias y otros mecanismos para mitigar situaciones peligrosas”.

Schneider Electric inició rápidamente una investigación para descubrir si los actores de la amenaza explotaron alguna vulnerabilidad en el producto Triconex. El aviso confirma que Triton requiere que el interruptor de llave esté en el modo “PROGRAMA” para entregar su carga útil.

La empresa publicó un aviso de seguridad para advertir a sus clientes y sugerir acciones de mitigación. Se sugiere evitar dejar la posición de la llave del panel frontal en modo “Programa” cuando el controlador no se esté configurando. El código malicioso sólo puede entregar su carga útil si el interruptor de llave está configurado en este modo.

“Schneider Electric tiene conocimiento de un incidente dirigido al sistema de apagado de seguridad Triconex Tricon de un solo cliente. Estamos trabajando estrechamente con nuestro cliente, organizaciones independientes de ciberseguridad e ICSCERT para investigar y mitigar los riesgos de este tipo de ataque”, se lee en el aviso de seguridad .

“Los módulos de este malware están diseñados para interrumpir los controladores de seguridad Triconex, que se utilizan ampliamente en infraestructuras críticas. El malware requiere que el interruptor de llave esté en el modo ‘PROGRAMA’ para entregar su carga útil. Entre otras cosas, el malware reportado tiene la capacidad para escanear y mapear el entorno del sistema de control industrial para proporcionar reconocimiento y emitir comandos directamente a los controladores de seguridad Tricon”.

El modelo de amenaza del SIS

Los ataques contra ICS suelen ser disruptivos, los atacantes tienen como objetivo destruir los procesos operativos, pero para ello necesitan un conocimiento de ingeniería más profundo del proceso industrial que se controla.

Los investigadores de FireEye proporcionaron algunos aspectos destacados útiles para el modelo de amenaza SIS: una vez que un atacante compromete un SIS, tiene las siguientes opciones de ataque:

Opción de ataque 1: utilizar el SIS para cerrar el proceso

El atacante puede reprogramar la lógica del SIS para provocar que se dispare y cierre un proceso que se encuentra en un estado seguro. En otras palabras, desencadenar un falso positivo.
Implicación: Pérdidas financieras debido a la parada del proceso y al complejo procedimiento de puesta en marcha de la planta después de la parada.

Opción de ataque 2: reprogramar el SIS para permitir un estado inseguro

El atacante puede reprogramar la lógica del SIS para permitir que persistan las condiciones inseguras.
Implicación: el mayor riesgo de que una situación peligrosa cause consecuencias físicas (por ejemplo, impacto en el equipo, el producto, el medio ambiente y la seguridad humana) debido a una pérdida de la funcionalidad del SIS.

Opción de ataque 3: reprogramar el SIS para permitir un estado inseguro, mientras se utiliza el DCS para crear un estado o peligro inseguro

El atacante puede manipular el proceso hasta llevarlo a un estado inseguro desde el DCS y al mismo tiempo impedir que el SIS funcione correctamente.

Implicación: Impacto en la seguridad humana, el medio ambiente o daños a los equipos, cuyo alcance depende de las limitaciones físicas del proceso y del diseño de la planta.

Según Dragos, comprometer la seguridad de un SIS no necesariamente compromete la seguridad del sistema.

“La ingeniería de seguridad es un conjunto de habilidades muy específicas y se adhiere a numerosos estándares y enfoques para garantizar que un proceso tenga un nivel de seguridad específico. Mientras el SIS realice su función de seguridad, comprometer su seguridad no representa un peligro siempre que falla a prueba de fallos”, se lee en el informe.

la atribucion

Como se anticipó, tanto las empresas de seguridad FireEye como Dragos que analizaron muestras del malware Triton evitaron vincularlo con un estado específico.

Los expertos en seguridad de CyberX que investigaron el incidente señalaron que Triton probablemente fue desarrollado por Irán y utilizado para apuntar a una organización en Arabia Saudita.

“Se cree ampliamente que Irán fue responsable de los ataques destructivos a las redes de TI de Arabia Saudita en y más recientemente en con Shamoon , que destruyó PC comunes. Esto definitivamente sería una escalada de esa amenaza porque ahora estamos hablando de infraestructura crítica. – pero también es el siguiente paso lógico para el adversario”, dijo a SecurityWeek Phil Neray, vicepresidente de ciberseguridad industrial de CyberX.

“Stuxnet y más recientemente Industroyer demostraron que el malware industrial moderno puede usarse para reprogramar y manipular dispositivos críticos como controladores industriales, y Triton parece ser simplemente una evolución de esos enfoques”.

Según Neray, los entornos OT son “vulnerables por diseño”, por lo que son un objetivo privilegiado para los piratas informáticos que podrían utilizarlos como punto de entrada en el entorno industrial.

“Creo que es un poco cómico que Schneider Electric se sintiera obligado a afirmar que el ataque no aprovechó ninguna vulnerabilidad en el producto Tritex”, dijo Phil Neray a SecurityWeek. “Los entornos OT son ‘vulnerables por diseño’ porque carecen de muchos de los controles que ahora damos por sentado en las redes de TI, como la autenticación sólida. Como resultado, una vez que un atacante ingresa a la red OT, robando credenciales o conectando un computadora portátil o USB, por ejemplo: tienen casi libertad para conectarse a cualquier dispositivo de control que elijan y luego reprogramarlos con lógica de escalera maliciosa para causar condiciones inseguras. Según el informe de FireEye, esto parece ser exactamente lo que hicieron los atacantes de TRITON. , similar a la forma en que Industroyer“Modificó los archivos de configuración de ABB para realizar su ataque a la red ucraniana “.

Los investigadores de Dragos criticaron la atribución a Irán porque creen que la información disponible en esta fase de la investigación no es suficiente para atribuir el ataque a un Estado concreto.

“Las empresas, como la mencionada anteriormente, parecen no entender o no importarles lo peligroso que puede ser vincular la atribución nacional a los casos específicos del ICS. La atribución a Irán sobre esto es muy prematura y, en nuestro análisis, muy inapropiada dada la gran cantidad de detalles”, se lee en un Tweet publicado por la empresa.

Los hackers iraníes se están volviendo aún más agresivos, pero los expertos siempre destacaron que no son particularmente sofisticados.

En octubre, se descubrió que la banda OilRig utilizaba un nuevo troyano en ataques dirigidos a objetivos en Medio Oriente.

OilRig es sólo uno de los grupos de hackers vinculados a Irán , otros grupos rastreados por expertos en seguridad son APT33 , Rocket Kitten , Cobalt Gypsy ( Magic Hound ), Charming Kitten ( también conocido como Newscaster y NewsBeef ) y CopyKittens .

En febrero, investigadores de Palo Alto Networks descubrieron una nueva campaña de ciberespionaje vinculada a Irán que tenía como objetivo varias organizaciones en Medio Oriente.

La campaña de espionaje denominada Magic Hound se remonta al menos a mediados de. Los piratas informáticos se dirigieron a organizaciones de las industrias de energía, gobierno y tecnología, todos los objetivos están ubicados o tienen interés en Arabia Saudita.

Irán fue responsable de ataques destructivos a los sistemas de Saudi Aramco en, y ahora CyberX atribuye el malware Triton al Gobierno de Teherán.

Conclusión

A pesar de la gran cantidad de infecciones reportadas para sistemas ICS a lo largo de los años, en ese momento los expertos solo detectaron cuatro piezas de malware personalizado para ICS;Stuxnet , Havex , BlackEnergy2 y CRASHOVERRIDE/ Industroyer .

Triton es una novedad importante en el panorama de las amenazas, su descubrimiento es preocupante y confirma que los actores de amenazas están aumentando su interés en el malware ICS con fines de sabotaje.

Personalmente creo que el ataque está vinculado a un actor-Estado-nación, pero es prácticamente imposible atribuirlo sin más pruebas.

Como se explica en el informe publicado por los expertos de Dragos, aunque el ataque no es altamente escalable, otros adversarios pueden adoptar un TTP similar para atacar al SIS.

El incidente representa una escalada en el tipo de ataques vistos hasta la fecha, ya que el ataque está diseñado específicamente para apuntar a la función de seguridad del proceso.

Si está interesado en los indicadores de compromiso (IoC) o las reglas de Yara, consulte los informes de FireEye y Dragos.

Referencias

https://www.fireeye.com/blog/threat-research//12/attackers-deploy-new-ics-attack-framework-triton.html

https://dragos.com/blog/trisis/

https://securityaffairs.co/wordpress/66733/malware/triton-malware.html

https://securityaffairs.co/wordpress/66784/malware/triton-malware-iran.html