Schneider Executive on Why Triton Malware Still Matters

Vorig jaar lanceerde een mysterieuze groep cyberaanvallen een malwarecampagne, die is sindsdien bekend geworden als Triton of Trisis, om het veiligheidsuitschakelsysteem in een fabriek in het Midden-Oosten te saboteren. De Triton-malware, medio november 2017 ontdekt door cyberbeveiligingsbedrijf Dragos, had catastrofale schade kunnen aanrichten, met mogelijk verlies van mensenlevens en grootschalige vervuiling tot gevolg. De malware bereikte zijn doel echter niet, omdat het onbedoeld de uitschakelprocedure van het Triconex-veiligheidssysteem activeerde die het probeerde te onderdrukken, wat leidde tot de ontdekking ervan.

Triton werd zo een tastbare waarschuwing voor de cyberbeveiligingsbedreigingen waarmee moderne industriële organisaties worden geconfronteerd. Het hackerscollectief achter de aanval, dat Dragos Xenotime noemt, zal waarschijnlijk "een potentiële, toekomstige ontwrichtende - of zelfs destructieve - gebeurtenis blijven veroorzaken", aldus een artikel in Dragos. Het cyberbedrijf stelt dat het "gematigd vertrouwen" heeft in deze mogelijkheid, maar merkt ook op dat de aanval andere cybercriminelen een blauwdruk geeft om zich in het algemeen op veiligheidsinstrumenten te richten.

Terwijl sommige fabrikanten wier apparatuur door hackers is gehackt, dergelijke aanvallen hebben afgewezen, gebagatelliseerd of zelfs probeerden te verbergen voor de publiek, nam Schneider Electric een tegenovergestelde benadering aan. "We wisten dat er een zekere mate van transparantie nodig was", zegt Andrew Kling, directeur cyberbeveiliging en systeemarchitectuur bij het bedrijf. “Toen de ware aard van de aanval eenmaal begrepen was, realiseerden we ons het unieke karakter hiervan en de ernst van dit soort aanval. We wisten absoluut dat dit een oproep tot actie zou zijn voor de hele industrie”, zegt Kling, die onlangs een artikel schreef met de titel One Year After Triton:Building Ongoing, Industry-Wide Cyber ​​Resilience.

[ IoT-beveiligingsconferentie is de conferentie waar u leert de volledige IoT-stack te beveiligen, van cloud tot edge tot hardware. Koop nu je ticket. ]

Wat Triton onderscheidt van de meeste malware is dat het een van de weinige malwaretypes is die specifiek gericht zijn op industriële controlesystemen, en de eerste bekende malware die gericht is op veiligheidsinstrumenten. "Dit was niet zomaar een eenmalig iets waarbij een oudere legacy-versie van een product werd aangevallen, maar dit was een soort aanval waarbij iemand vond dat een aanval op een veiligheidssysteem nodig was om hun doel te bereiken", zei Kling. "En proberen onze kop in het zand te steken, zou gewoon geen acceptabel gedrag zijn."

In hoeverre denkt u dat mensen in de branche zich bewust zijn van Triton-malware en de bredere dreiging van aanvallen op industriële veiligheidssystemen?

Andrew Kling :Dat is een goede vraag. Als cyberbeveiligingsprofessional vind ik dat het 100 procent en absoluut moet zijn. Iedereen zou onmiddellijk moeten gaan zitten en actie moeten ondernemen om de situatie aan te pakken.

We hebben een malwaredetectieservice uitgevoerd voor onze klanten van de Triconex-productlijn. We weten hoeveel van deze Triconex-veiligheidscontrollers we hebben geproduceerd. We weten hoe we kunnen detecteren of deze malware op deze apparaten aanwezig is. En we hebben deze service aan al onze klanten aangeboden. We hebben veel klanten gehad die nu contact met ons opnemen om te detecteren of er malware op hun apparaten aanwezig is, en er zijn geen aanvullende indicatoren voor een compromis met andere sites. Maar we zullen het programma blijven uitvoeren omdat we denken dat dit een belangrijke service is voor onze klanten. Ik wil erop wijzen dat het ook uniek is. Zoals ik weet, is dit de eerste service die malware in een dergelijk veiligheidsapparaat rechtstreeks detecteert.

Welke rol ziet u Schneider Electric spelen bij het informeren van de industrie over deze bedreiging?

Kling: Dit is een oproep tot actie, niet alleen voor onze klanten om op te staan ​​en te zeggen:"Hé, we moeten net zoveel aandacht besteden aan ons veiligheidssysteem als aan onze procescontrolesystemen en bedrijfssystemen." Maar het is een oproep tot actie voor serviceproviders, netwerkproviders en OEM's zoals wij.

Ik zit in normcommissies waar ik contact heb met mijn collega's bij andere bedrijven en zij zijn het erover eens dat dit iets is dat voor hen relevant is. Schneider Electric was het doelwit omdat wij het veiligheidssysteem waren dat ter plaatse was toen deze klant werd aangevallen, maar het had net zo goed een van onze concurrenten kunnen zijn. Ze waarderen het dat we transparant zijn en we leggen uit hoe de aanval plaatsvond en welke vaardigheden ze bij deze aanval tegen deze specifieke klant hebben gebruikt.

Hoeveel weten we op dit moment over de aanvallers achter de aanval?

Kling: Jij weet waarschijnlijk net zoveel als ik.

Wat attributie betreft, weten we heel weinig over wie het kan zijn. Er is veel gespeculeerd en in de pers over natiestaten. Onlangs is er een malwarebedrijf geweest dat heeft gespeculeerd dat de vaardigheden misschien minder zijn dan oorspronkelijk werd gedacht. Hoewel ik niet weet wie de aanvallers zijn, weet ik wel dat er bepaalde vaardigheden nodig waren die niet triviaal waren. De aanvaller zou moeten begrijpen hoe zo'n veiligheidssysteem werkt en welke processor en protocollen erbij betrokken zijn. Bij deze aanval werd het gedistribueerde besturingssysteem gecompromitteerd, evenals het procesbesturingssysteem. Dit zijn allemaal vaardigheden die u niet op een algemene manier aantreft. Iemand moest een aanzienlijke motivatie hebben om deze vaardigheden te verwerven om deze aanval uit te voeren.

Dus het is waarschijnlijk dat de aanvallers weinig ervaring hadden met dit soort machines?
Ja, of ze hadden een brede intelligentie en konden zich snel aanpassen.

Dit is speculatie, maar het is waarschijnlijk dat ze wat apparatuur hadden. Maar hun malware bevatte meerdere bugs - bugs trouwens die we moesten oplossen om erachter te komen wat de malware moest doen. Toen een van die bugs werd aangetroffen, schakelde het veiligheidssysteem uit. Het systeem deed wat het moest doen en was een indicatie dat ze misschien niet zoveel apparatuur hadden als we dachten dat ze zouden hebben. En ze gebruikten de site om de malware te ontwikkelen

We weten dat de malware een RAT was die in het geheugen was geïnstalleerd. Ze hadden lees-schrijf-uitvoermogelijkheden, maar we hebben nooit echt teruggevonden wat de uiteindelijke payload zou zijn om in die RAT te installeren?

Welk advies heeft u voor industriële organisaties die zich zorgen maken over cyberrisico's voor hun faciliteiten, maar niet weten wat hun topprioriteiten moeten zijn bij de verdediging ervan?

Dat is trouwens een vraag die ik door regeringen over de hele wereld aan klanten heb gekregen om nu op te drukken.

En ik heb een antwoord:als lid van de ISA99-werkgroep produceren we de IEC 62443 cybersecurity-standaard. Dit is een reeks onderdelen die uitlegt wat een veilig procesbesturingssysteem is:van de componenten tot het netwerk tot het systeem, tot de levering van het systeem tot het onderhoud van het systeem. Dus als u een klant bent die probeert te zeggen:"Ik doe een bod om een ​​nieuw veiligheidssysteem of een nieuw procesbesturingssysteem voor mijn fabriek te kopen", moet u beginnen met te zeggen in hun biedingsspecificatie. Uw product moet gecertificeerd zijn volgens deze norm. Er zijn honderden manjaren van professionals over de hele wereld die in deze standaard zijn gestopt om te definiëren wat beveiliging betekent voor de ruimte van industriële automatiseringsbesturingssystemen. U moet gebruikmaken van al het werk dat daar is gedaan en op zoek gaan naar producten die aan die norm voldoen. Ze moeten op zoek naar producten die eraan voldoen en systemen die eraan voldoen en leveringsorganisaties die eraan voldoen. En op deze manier kunnen ze voorkomen dat ze PhD's in cybersecurity moeten worden om het vakgebied te begrijpen. In plaats daarvan kunnen ze gebruikmaken van de PhD's die hun hart en ziel in de standaard hebben gestort.

Er zijn ook documenten die de Amerikaanse regering produceert vanuit NCCIC/ICS-CERT. Met die mensen werken we samen aan normen. De OT-cyberbeveiligingsgemeenschap is een hechte gemeenschap. We kennen elkaar en werken regelmatig met elkaar samen.