Хабрахабр

[Из песочницы] Triton — самый убийственный вирус, и он распространяется

Привет, Хабр! Это любительский перевод сообщения «Triton is the world’s most murderous malware, and it’s spreading» by Martin Giles, опубликованного 5 марта 2019 г. Все иллюстрации создал Ariel Davis. Спойлер: в кибератаках в очередной раз обвиняют российских хакеров.

Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.
imageВирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии.

Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, что заставляет кровь стынуть в жилах.
Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Как опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Предполагается, что они ворвутся при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф.

Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. Вредоносное ПО позволяет контролировать системы безопасности удаленно. Ответ системы безопасности в июне 2017 г. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы. привел к остановке производства.

Ищейки обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Он целился в модель контроллера Triconex, сделанную французской компанией Schneider Electric.

В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.

Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.

Это было хуже некуда» «Мы знали что мы не можем полагаться на целостность систем безопасности.

Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта, водоочистных сооружений, и заканчивая атомными энергетическими станциями.

Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.

Dragos, фирма, которая специализируется на индустриальной кибербезопасности, утверждает: за последний год появились свидетельства, доказывающие, что группа хакеров использует одни и те же методы цифровой разведки, для обнаружения целей за пределами ближнего востока, включая Северную Америку. Создатели Triton сейчас охотятся за новыми жертвами. Они создают новые варианты кода, позволяющие ставить под угрозу большее количество систем безопасности.

Боевая готовность

Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)

Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены. В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой.

С тех пор, они обнаружили путь в собственную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.

С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.

Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Хакеры также обнаружили или «уязвимость нулевого дня» или прежде неизвестный баг во встроенной в Triconex программе. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.

Худшая промышленная авария также связана с утечкой ядовитых газов. Результаты могли быть устрашающими. Причинами были плохое обслуживание и человеческий фактор. В декабре 1984 года завод пестицидов Union Carbide в Бхопале (Индия) выпустил огромное облако токсичных паров, убив тысячи людей. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.

Ещё большая боевая готовность

Не так много случаев было, когда хакеры пытались нанести физический вред используя киберпространство. Например, Stuxnet — сотни центрифуг иранской АЭС вышли из-под контроля и самоуничтожились (2010). Другой пример, CrashOverride — удар российских хакеров по энергетической системе Украины (2016). (Наша боковая панель содержит резюме этих и некоторых других киберфизических атак.)*

Однако даже самые из пессимистичных кибер-Кассандр не видели такого вредоносного ПО как Triton.

«Просто казалось, что целиться в системы безопасности тяжело морально и действительно трудно технически», объясняет Джо Словик, бывший офицер ВМС США, ныне работающий в Dragos.

Другие эксперты тоже были шокированы, увидев новости о коде-убийце.

«Даже Stuxnet и другие вирусы никогда не имели такого вопиющего и однозначного намерения травмировать людей», говорит Бредфорд Хегрет, консультант в Accenture, специализирующийся на промышленной кибербезопасности.

image

Нефтегазовые компании, электроэнергетические компании, транспортные сети жизненно необходимы современной экономике. Скорее всего не случайно, что вредоносное ПО дало о себе знать, когда хакеры из таких стран, как Россия, Иран и Северная Корея, усилили исследование секторов «критически важной инфраструктуры».

Он провел параллели с зарегистрированным национальной разведкой США возрастанием киберактивности террористических групп перед 11 сентября 2001.
В своей речи в прошлом году Ден Коатс, директор национальной разведки США, предупредил, что угроза кибератаки, парализующей жизненно важную инфраструктуру Америки, возрастает.

Сегодня цифровая инфраструктура, обслуживающая нашу страну, буквально находится под атакой», сказал Коатс. «Почти два десятилетия спустя, я здесь, чтобы сделать предупреждение, огни снова мигают красным.

Вначале казалось, что Triton — работа Ирана, который является заклятым врагом Саудовской Аравии. В отчете, опубликованном в прошлом октябре, FireEye, компанией, работающей в сфере информационной безопасности и участвующей в расследовании с самого начала, преступником была обвинена другая страна: Россия.

FireEye обнаружили забытый хакерами файл в корпоративной сети и получили возможность отследить другие файлы с того же испытательного стенда. Хакеры тестировали элементы кода, с целью сделать его обнаружение непосильной задачей для антивируса. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.

FireEye также сообщал о доказательстве, которое указывало на вовлеченность профессора этого института. Этот адрес был зарегистрирован в ЦНИИ Химии и Механики в Москве, государственной организации, фокусирующейся на ключевой инфраструктуре и промышленной безопасности. И всё же, в отчете было отмечено, что FireEye не удалось найти доказательств, которые бы могли однозначно указать на причастие института к разработке Triton.

Гатманис, тем временем, хочет помочь компаниям извлечь важные уроки из подобного опыта саудовского завода. Исследователи все еще копаются в происхождении вируса, так что гораздо больше теорий может возникнуть о хакерах-авторах. Например, жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. На январской конференции по промышленной безопасности S4X19 он обрисовал некоторые из них. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.

Это может звучать как безнадежный случай, но Гатманис утверждает, что это не так.

«Я был на многих американских заводах, которые были в разы менее зрелыми [в своем подходе к кибербезопасности], чем эта организация», объясняет Гатманис.

Triton: a timeline

2014
Хакеры получают доступ к корпоративной сети завода в Саудовской Аравии

Июнь 2017
Первая остановка производства

Август 2017
Вторая остановка производства

Декабрь 2017
Публикуется информация о кибератаке

Октябрь 2018
FireEye сообщает о том, что скорее всего Triton был создан в российской лаборатории

Январь 2019
Появляется больше информации об инциденте

Другие эксперты замечают, что сейчас хакеры, работающие на правительство, готовы преследовать относительно неопределенные и сложные для взлома цели. Системы обеспечения безопасности разработаны специально для защиты разнообразных процессов, так что программирование вирусного ПО для них требует большого количества времени и кропотливой работы. Schneider Electric’s Triconex контроллер, например, имеет множество различных моделей, и каждая из них может иметь другую версию встроенного ПО.

Шнайдер получил похвалу за то, что публично поделился подробностями об атаке хакеров, включая освещение ошибки нулевого дня, котора была исправлена с тех пор. Факт того, что хакеры пошли на такие большие затраты для разработки Triton, стал тревожным звонком для Шнайдера и других производителей систем безопасности, таких как Emerson (США) и Yokogawa (Япония). Однако во время январской презентации Гатманис раскритиковал компанию за то, что она не могла взаимодействовать со следователями сразу после атаки.

Было нанято больше людей, а также была усилена безопасность встроенного ПО и используемых протоколов. Schneider заверили, что сотрудничали с компанией, оказавшейся под кибератакой, так же плотно, как и с Министерством внутренней безопасности США и иными агентствами, проводившими расследование.

Например, редко используемые программные приложения и старые протоколы, которые управляют взаимодействиями приборов.
Эндрю Клинг, руководитель Schneider, говорит, что важный урок, извлеченный из этого происшествия, состоит в том, что компаниям и производителям оборудования необходимо уделять больше внимания областям, компрометация которых может привести к катастрофе, даже если атака по ним кажется очень маловероятной.

«Вы можете подумать, никого никогда не будет беспокоить нарушение [некоторого] неясного протокола, который даже не задокументирован, — говорит Клинг, — но вы должны спросить, каковы будут последствия, если они это сделают?»

image

Иное будущее?

В течение последнего десятилетия компании добавляют связь с интернетом и сенсоры во все виды промышленного оборудования. Собираемые данные используются для всего; начиная с профилактики, которая означает использование машинного обучения для лучшего предсказания, когда же это профилактическое обслуживание понадобится, заканчивая тонкой отладкой процессов на производстве. Также большой шаг сделан для того, чтобы управлять процессами удаленно, используя смартфоны и планшеты.

долларов на промышленное интернет-оборудование; например, интеллектуальные датчики и автоматизированные системы управления. Все это может сделать бизнес гораздо более эффективным и продуктивным, что объясняет, почему, согласно ARC Group, следящей за рынком, ожидается потратить около 42 млрд. Но также очевидны риски: чем больше оборудования подключено, тем больше целей для атак получают хакеры.

Задача других уровней — предотвратить доступ хакеров к сетям предприятия и к промышленным системам управления. Чтобы удержать злоумышленников, производства обычно полагаются на стратегию, известную как «глубокая защита»: создаётся несколько уровней безопасности, используются брандмауэры, чтобы отделить корпоративные сети от интернета.

Методы защиты также включают в себя антивирусные инструменты для обнаружения вирусов и всё чаще ПО для искусственного интеллекта, который пытается распознать аномальное поведение внутри IT-систем.

Наиболее важные системы обычно имеют несколько физических копий для защиты от отказа какого-либо элемента. Кроме того, в качестве окончательной защиты используются системы контроля безопасности и физические отказобезопасные системы.

Но рост числа хакеров, обладающих временем, деньгами и мотивацией, достаточными для того, чтобы нацелиться на критически важную инфраструктуру, а также увеличение роста соединенных с интернетом систем — всё это означает, что прошлое не может быть надежным руководством для будущего. Эта стратегия доказала свою надёжность.

Внедрение Triton в Саудовской Аравии показывает, показывает, что полные решимости хакеры готовы потратить годы на прощупывание и исследование способов пробраться через все эти уровни защиты. Россия, в частности, продемонстрировала желание использовать ПО в качестве оружия против физических целей на украине, которые она может использовать для тестирования кибероружия.

Также это отрезвляющее напоминание о том, что хакеры, как и другие разработчики, тоже совершают ошибки. К счастью, нападавшие на предприятие в Саудовской Аравии были перехвачены, а мы узнали гораздо больше о том, как они работали. Что если непреднамеренно внесенный баг, вместо безопасного отключения систем, «обезвредит» системы безопасности это произойдет именно в тот момент, когда какая-либо ошибка или же человеческий фактор сделают жизненно важный процесс бесполезным?

Эксперты, работающие в таких местах, как Национальная лаборатория США в Айдахо, призывают компании пересмотреть все свои процессы в свете появления Triton и других киберфизических угроз, а также радикально сократить или же устранить вовсе цифровые пути, благодаря которым хакеры могут получить доступ к жизненно важным процессам.

Гатманис считает, что новые атаки с использованием смертоносных вирусов практически неизбежны.
Компаниям придется пойти на издержки, для того, чтобы сделать это, но Triton — это напоминание о том, что риски растут.

«Хотя это и было впервые, — говорит Гатманис, — я был бы сильно удивлен, обернись это первым и последним случаем»

*Некоторые заслуживающие внимания киберугрозы

2010 — Stuxnet

безопасности вместе с израильской разведкой, вирус представлял собой компьютерного червя — код, который копирует себя с компьютера на компьютер без вмешательства человека. Разработанный Американским агентством нац. Вирус спровоцировал разрушение центрифуг, использовавшихся для обогащения урана на заводе в Иране. Вероятнее всего, что он, пронесенный контрабандой на USB-накопителе, предназначался для программируемых логических контроллеров, которые управляют автоматизированными процессами.

2013 — Havex

Предположительно, это позволяло хакерам выяснить как именно организовать атаку. Havex был разработан для наблюдения за контролирующими оборудование системами. Вирус предназначался для тысяч американских, европейских и канадских предприятий, особенно в энергетической и нефтехимической областях. Код — троян удаленного доступа (RAT), позволяющий хакерам управлять компьютерами удаленно.

2015 — BlackEnergy

В декабре 2015 года он помог спровоцировать отключения электроэнергии. BlackEnergy, другой троян, некоторое время «вращался в криминальном мире», но затем был адаптирован российскими хакерами для запуска атаки по нескольким украинским энергокомпаниям. Вирус использовали для сбора информации о системах энергетических компаний и кражи учетных данных сотрудников.

2016 — CrashOverride

Этот вирус тоже был разработан российским кибервоинами, которые использовали его для организации атаки по части украинской электросети. Также известен как Industroyer. Это позволяет показать, что предохранитель замкнут, в то время как на самом деле он разомкнут. Вирус копировал протоколы («языки связи»), которые различные элементы энергосистемы использовали для взаимодействия друг с другом. Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть