domingo, 15 de abril de 2018

Ataque virus Triton a SIS Triconex


Ataque virus Triton a SIS Triconex

Por: Victor Yi

vichuvideo@gmail.com

 

El 14 de diciembre de 2017, Mandiant, una empresa especializada en protección contra ataque cibernético atendió un incidente a una infraestructura de una empresa, que no fue identificada en el reporte, pero posteriormente se supo que fue la empresa petrolera ARAMCO, aunque directivos de dicha empresa niegan haber sufrido ataque cibernético.
El atacante implantó un malware diseñado para manipular sistemas de seguridad industrial. El sistema atacado es un sistema SIS Triconex para proceso industrial. Se sospecha que el atacante estaba desarrollando la capacidad reprogramar el Triconex para causar daño físico e inadvertidamente paró las operaciones. El malware, bautizado como TRITON, es un virus diseñado para interactuar con los controladores SIS de Triconex. Se sospecha que el atacante sea de una nación enemiga.

Malware Módulos principales Descripción
TRITON trilog.exe Principal archivo ejecutable de las librerias.zip
library.zip Librería customizada de comunicación para interactuar con controladores Triconex, usando el protocolo propietario TriStation.
Tabla 1: Descripción del malware TRITON


TRITON puede prevenir que los mecanismos de seguridad ejecuten sus funciones, resultando en consecuencias físicas.

 

Resumen del incidente

El atacante logró acceso remoto a la estación de ingeniería del SIS, el cuál opera con sistema operativo Windows e implantó el TRITON con la intención de reprogramar los controladores del SIS. Durante el incidente, algunos controladores del SIS entraron en estado de falla segura, el cuál activó el paro automático del proceso.
Debido al paro del proceso, se mandó realizar una investigación para determinar las causas. En la investigación se determinó que los controladores del SIS activó el paro cuando falló una revisión de validación del código del programa de aplicación entre las unidades de procesamiento redundante.

 

Análisis de la intención del atacante

La investigación detectó que el atacante había entrado al sistema e implantado el TRITON desde hace bastante tiempo. Se asume que el objetivo a largo plazo del atacante era desarrollar la capacidad para causar un daño físico y no el simple hecho de ocasionar el paro de la planta para causar pérdida económica. Esta conclusión se basa en que el atacante desde un inicio la capacidad de provocar un paro de la planta, mediante la emisión de un comando de paro o cargando un código defectuoso a los controladores del SIS, pero no lo hizo. En vez de eso, el atacante hizo varios intentos, a lo largo de un periodo de tiempo, en desarrollar e implantar lógica de control funcional en el SIS, los cuales fueron bloqueados efectivamente por el SIS, sugiriendo que la intención es la de causar consecuencias más allá del paro del proceso.

 

Resumen de las capacidades del TRITON

El TRITON fue desarrollado con un gran número de características, incluyendo la capacidad de leer y escribir programas, leer y escribir funciones individuales y preguntar el estado del controlador del SIS.
El TRITON tiene la capacidad de comunicarse con controladores SIS Triconex (envío de comandos tales como paro o leer el contenido de su memoria) y reprogramarlo remotamente. El TRITON puede agregar un programa sustituto del atacante a la tabla de ejecución del controlador Triconex, pero dejando el programa original, de modo que si ocurriera una falla por el programa sustituto, TRITON hace que regrese a la ejecución de programa original, pero si después de un cierto periodo de tiempo el programa sustituto funciona sin problema, entonces se sobrescribe el programa original sustituyéndolo con el programa sustituto, borrando así toda evidencia de la sustitución.

 

Recomendaciones

Los propietarios de activos que deseen defenderse contra ataques cibernéticos, deben considerar los siguientes:

  1.  Cuando sea técnicamente factible, segregar las redes de sistemas de seguridad de las redes del sistema de control de procesos y del sistema de información. Las estaciones de trabajo de ingeniería capaces de programar controladores SIS no deben ser de doble conexión, y sin conexión a ningún control de proceso DCS o red de sistema de información.
  2. Aprovechar las características de hardware que proporcionan control físico de la capacidad de programar los controladores de seguridad. Estos generalmente tienen  interruptores controlados por una llave física. En los controladores Triconex, la llave no debe dejarse en el modo “PROGRAM”, excepto durante los eventos de programación programados. Implementar procedimientos de control de cambiosque incluya la posición de dicha llave. Audite regularmente el estado de dicha llave.
  3. Usar gateway unidireccional en lugar de conexiones de red bidireccionales para cualquier aplicación que dependa de los datos proporcionados por el SIS.
  4. Implementar listas de aplicaciones permitidas y control de acceso estricto en cualquier punto de de conexión al servidor o estación de trabajo que pueda conectarse al sistema SIS a través de TCP / IP.
  5. Monitorear el tráfico de la red de control en busca de flujos de comunicación no esperados y otras actividades anómalas.

Para mayores detalles sobre el hecho y mayor información sobre las características del TRITON consulte los siguientes enlaces:

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://www.theguardian.com/technology/2017/dec/15/triton-hackers-malware-attack-safety-systems-energy-plant

http://foreignpolicy.com/2017/12/21/cyber-attack-targets-safety-system-at-saudi-aramco/

 

Victor Yi

vichuvideo@gmail.com

Publicado por en
Etiquetas: , , , , , , ,

1 comentario:

  1. Ulianov Gil16 de abril de 2018 a las 20:21

    Excelente aporte Sr Victor, sobre todo las recomendaciones finales.. en resumen considero que todo se resumen en disponer y seguir procedimientos y mejores practicas en la materia

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)