home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Trisis-malware ontdekt in aanvullende industriële faciliteit

Toen cybersecurity-onderzoekers van Dragos en FireEye de zogenaamde Triton-malware onthulden gericht op industriële veiligheidssystemen, het was iets van een openbaring. Triton markeerde de eerste ontdekking van malware die bedoeld was om fysieke vernietiging te veroorzaken. De code deed dit door zich te richten op een geïnstrumenteerd systeem voor industriële veiligheid, maar was gelukkig niet effectief in het veroorzaken van rampen.

De aanval, ook wel bekend als 'Trisis', was tot voor kort in nevelen gehuld. De eerste berichten over de aanval waren vaag. Een natiestaatacteur zat waarschijnlijk achter de aanval, die ergens in het Midden-Oosten toesloeg. Maar Triton diende ook als een soort wake-up call vanwege het potentieel om massale vernietiging te veroorzaken in de vorm van een noodgeval bij een olie- en gasfabriek.

"Ik was ongeveer een week of zo in het Midden-Oosten voordat Triton toesloeg", herinnert Jason Haward-Grau, CISO voor PAS Global zich. In een gesprek vroeg Haward-Grau aan een veiligheidsdirecteur van het oliebedrijf aldaar wat hij vond van het niveau van cybersecurity bij het bedrijf. “Nou, hij vertelde me dat hij zich nergens zorgen over hoefde te maken. Ik dacht:‘Wauw, jij bent de enige persoon die ik heb ontmoet in cybersecurity die zich geen zorgen maakt. Ik stop niet met me zorgen te maken. Ik kan niet slapen'", vervolgde Haward-Grau. De in het Midden-Oosten gevestigde cyberbeveiligingsprofessional ging verder met de redenen waarom hij 's nachts goed kon slapen:"We hebben een luchtgat. We hebben datadiodes. En als alles fout gaat, hebben we een SIS-systeem”, zei de veiligheidsdirecteur, verwijzend naar het veiligheidsinstrumentatiesysteem, dat is ontworpen om een ​​kritieke industriële operatie veilig en gracieus te laten mislukken in geval van nood.

[ Internet of Things Wereld is het kruispunt van industrieën en IoT-innovatie. Boek uw conferentiepas en bespaar $ 350, ontvang een gratis expo-pas of bekijk de IoT-beveiligingsluidsprekers bij het evenement.]

Een week later sloeg Trisis toe, wat de cyberbeveiligingsprofessional ertoe bracht Haward-Grau te bellen. "Hij belde me en zei:'Luister, weet je, hoe ik zei dat we drie centrale benaderingen hadden voor cyberbeveiliging. Ik ben een beetje nerveus nu we misschien niet alle drie hebben.'”

Terwijl Trisis in de maanden nadat het werd ontdekt schokgolven veroorzaakte op het gebied van industriële cyberbeveiliging, waren de details over de malware schaars. Nu komt er een duidelijker beeld van de aanval. Het cyberbeveiligingsbedrijf FireEye bevestigde op 10 april dat het een extra aanval op een afzonderlijke kritieke infrastructuurfaciliteit had ontdekt. Vorig jaar maakte het cyberbeveiligingsbedrijf ook bekend dat het gelooft dat de aanval Russische wortels heeft.

"Voor de meeste eigenaren en operators maakt het niet uit of Rusland erachter zat of een hacktivistische groep was", zegt Emily S. Miller, directeur van programma's voor nationale veiligheid en kritieke infrastructuur bij Mocana. “Waar het om gaat is of ze slechte dingen kunnen laten gebeuren. En als het om kritieke infrastructuur gaat, betekent dat verlies aan mensenlevens.”

FireEye heeft een duidelijker beeld ontwikkeld van de mechanica van Triton, die gebruikmaakte van tientallen standaard- en aangepaste inbraaktools. SecHack werd bijvoorbeeld gebruikt voor het verzamelen van referenties, terwijl Cryptcat, Bitvise, OpenSSH en PLINK achterdeurtjes creëerden. Aangepaste tools hebben aanvallers waarschijnlijk geholpen om cyberbeveiliging te omzeilen.

De impact van een succesvolle aanval op een SIS-doelwit kan aanzienlijk zijn. "Een slechte acteur kan een proces [dat bedoeld is om een ​​industriële faciliteit in geval van nood te beschermen] stilleggen door de configuratie van een veiligheidssysteem te manipuleren", zegt Eddie Habibi, chief executive officer van PAS Global in een e-mailverklaring. "Het echte gevaar ligt echter in het feit dat de aanvaller andere ICS-systemen infiltreert binnen dezelfde faciliteit als het veiligheidssysteem", vervolgde hij. Als dat gebeurt, kan een tegenstander de basis leggen voor een ramp door industriële processen aan te passen om veilige bedrijfslimieten te overschrijden, met mogelijk fysieke vernietiging, verwondingen en overlijden en vervuiling tot gevolg. In de faciliteit waar de malware voor het eerst werd geïdentificeerd, had Triton de werking van een branderbeheersysteem kunnen verstoren, waardoor mogelijk waterstofsulfidegas vrijkwam.

Triton, dat zich richtte op apparatuur van Schneider Electric, zou ook kunnen leiden tot copycat-aanvallen die niet alleen bedoeld zijn om gevoelige gegevens te stelen, maar ook fysieke vernietiging en mogelijk verlies van mensenlevens te veroorzaken. "Ik denk dat we de katalyse van soortgelijke aanvallen hebben gezien", zei Miller. En de aanval biedt niet alleen een blauwdruk voor aanvallen op de olie- en gassector, die zogenaamd het doelwit waren van de eerste aangekondigde Trisis-aanval, maar voor elk type kritieke infrastructuur, inclusief gebouwautomatiseringssystemen. "Kijk naar Black Energy", zei Miller, verwijzend naar de malware die een rol speelde bij het afsluiten van een deel van het elektriciteitsnet in Oekraïne. “Toen het toesloeg, was het totaal nieuw en nieuw. Nu kun je het op het dark web kopen.” De tegenstanders die dergelijke gevaarlijke aanvallen ontwikkelen, kunnen hun tactieken online delen met gelijkgestemde hackers, vergelijkbaar met koks die recepten online ondermijnen, zei Miller.

Het potentieel voor verdere steun van de natiestaat voor dergelijke aanvallen is ook verontrustend. "Met de huidige generatie operationele technologie (OT) -systemen is een regelrecht cyberbeveiligingsprobleem een ​​regelrecht veiligheidsprobleem", zegt John Sheehy, vice-president strategische services bij IOActive in een e-mailverklaring. Schneider heeft sindsdien een educatieve campagne gelanceerd om Triton om te vormen tot een "call to action" voor de industrie, zei Andrew Kling, directeur cyberbeveiliging en systeemarchitectuur bij Schneider Electric, vorig jaar in een interview.

FireEye-onderzoekers zijn van mening dat natiestaten dergelijke malware zouden kunnen opvoeren om noodoperaties te ondersteunen in plaats van onmiddellijk destructieve aanvallen uit te voeren. Het opzetten en mogelijk orkestreren van een aanval zoals Trisis vereist waarschijnlijk jarenlange planning en tijdinvestering van bedreigingsactoren, die ervoor zorgen dat ze blijvende toegang hebben tot de omgeving van hun doelwit. Het FireEye-onderzoeksteam denkt dat het bijna een jaar heeft geduurd voordat de tegenstander de toegang van het netwerk van zijn doelwit had uitgebreid naar een SIS-engineeringwerkstation. In de tussentijd werkte de aanvaller zorgvuldig om hun sporen te verbergen, bijvoorbeeld door uitvoerbare malwarebestanden te hernoemen zodat ze eruitzagen als Microsoft-updatebestanden. FireEye denkt dat de aanvallers achter Trisis al minstens sinds 2014 actief zijn.

John Sheehy, vice-president strategische services bij IOActive en Miller, zei dat de Triton-malware ook moet dienen als een stimulans om holistische cyberbeveiligingsbescherming in industriële omgevingen in te bouwen, in plaats van zich voornamelijk te concentreren op defensieve maatregelen zoals netwerkbewaking en het opsporen van bedreigingen. Sheehy benadrukte ook het belang van het inbouwen van fysieke veiligheidsbeschermingen in industriële omgevingen die een succesvolle op veiligheid gerichte cyberaanval kunnen helpen verminderen. "Waar mogelijk moeten ontwerpers orthogonale veiligheidscontroles gebruiken, zoals mechanische overdrukventielen of mechanische regelaars, die geen enkele coïncidentie hebben met de controlesystemen en daarom niet door hen kunnen worden beïnvloed," zei Sheehy. “De OT-implementaties van vandaag moeten gericht zijn op het beheersen van de gevolgen van een cyberbeveiligingsaanval door middel van gelaagde beveiligingen en mitigaties met behulp van niet-cyberbeveiligingstechnische controles. Dit moet worden gedaan met de nadruk op het bieden van operationele veerkracht aan het proces en de algehele operaties.”

"Laten we hier naar de oorzaak van de impact gaan:we moeten de beveiliging vanaf het begin versterken en inbedden in deze ICS-apparaten", zei Miller in een e-mailverklaring. "Totdat we dat doen, blijven we onszelf als zittende eenden achterlaten voor nog meer kritieke infrastructuuraanvallen zoals deze."


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Hoe 5G het industriële IoT zal versnellen
    2. De weg naar industriële IoT-beveiliging
    3. CPwE:een blauwdruk voor een industrieel netwerk
    4. Achteraf aanpassen van cyberbeveiliging
    5. Waarom TÜV SÜD zegt dat het een leider op het gebied van industriële cyberbeveiliging is
    6. Generieke aanvallen verhogen het profiel van industriële cyberbeveiliging
    7. Avnet VP uitgeroepen tot Industrial IoT World Leader of the Year
    8. Onze (info)grafische, korte geschiedenis van het industriële internet der dingen
    9. Defecte mechanische afdichting zorgt voor warmte in koude opslagfaciliteit
    10. Claroty's cybersecurity:belangrijker dan databeveiliging?
    11. Faciliteit en industrieel onderhoud