TRITON empuña su tridente – Nueva manipulación de malware con sistemas de seguridad industrial

TRITON o TRISIS (detectado por Trend Micro como TROJ_TRISIS.A) es un malware recientemente descubierto que ha sido diseñado para manipular sistemas de seguridad industrial y, más concretamente, estuvo involucrado en el cierre de las operaciones de una planta industrial (según se ha comunicado en un país de Oriente Próximo). Según los informes, la víctima en cuestión no sufrió daños ya que el sistema de la planta se cerró de manera segura. Sin embargo, la tecnología específica seleccionada se utiliza ampliamente en diversas industrias, especialmente en el sector de la energía, lo que deja a otras organizaciones vulnerables. Además, el cierre del sistema podría haberse desencadenado inadvertidamente como resultado de una actividad de exploración por parte de los atacantes, quienes intentaba aprender cómo funcionaba el sistema para su uso futuro.

El ataque TRISIS supone el primer informe de atacantes que apuntan directamente a un sistema instrumentado de seguridad (https://www.automationworld.com/cyber-attack-hits-safety-system-critical-infrastructure). Como era de esperar, las comparaciones con Stuxnet dominan la cobertura sobre TRITON. Pero, ¿qué es lo realmente novedoso aquí? A continuación, el equipo de investigación de Trend Micro, presenta bajo el formato Preguntas Frecuentes lo que se sabe actualmente sobre el malware TRITON, qué lo hace tan novedoso y lo que esto podría significar para la seguridad de los Sistemas de Control Industrial (ICS) en general.

Detección
Dos compañías ha publicado informes que cubren este malware. Una empresa de seguridad descubrió malware ICS a medida en estado puro, desplegado contra al menos una víctima en Oriente Próximo, a mediados de noviembre de 2017. El malware fue descrito en un informe posterior y denominado TRISIS porque se dirige a Triconex, el sistema de seguridad instrumentado (SIS) de Schneider Electric. Casi al mismo tiempo, se publicó otro informe de un proveedor de seguridad en el que se abordaba un incidente en una planta industrial que apuntaba a la misma familia de malware. Llamaron al malware “TRITON”, también en referencia al sistema Triconex para el que fue específicamente adaptado.

¿Qué es SIS, el tipo de sistema para el que TRITON/TRISIS está diseñado   sistemáticamente?
Muchos de los ataques más conocidos y de alto perfil relacionados con ICS de los últimos años han estado relacionados con sistemas de control de procesos como el Control de Supervisión y Adquisición de Datos (SCADA), lo que hace que los ataques SCADA sean relativamente omnipresentes. El malware TRITON, sin embargo, se dirige por primera vez a los controladores de seguridad, es decir, a los llamados sistemas instrumentados de seguridad (SIS).

Los sistemas instrumentados de seguridad se utilizan para controlar el estado de los valores y parámetros de los procesos de una planta dentro de los límites operacionales. En condiciones de riesgo, están programados para activar alarmas y restablecer la planta a un estado seguro o apagarla de manera segura si los parámetros indican una situación potencialmente peligrosa. Estos controladores de seguridad han sido tradicionalmente sistemas separados y se supone que funcionan independientemente de otros equipos en una instalación con el único propósito de monitorizar la seguridad. Lo que sabemos sobre el escenario en cuestión es que el controlador Triconex SIS tenía su interruptor de llave en “modo programa” durante el momento del ataque, y el SIS estaba conectado a la red de operaciones contra el estándar de buenas prácticas.

Si se observa el SIS en general y la información disponible públicamente, parece que quien planificó el ataque debería haber tenido acceso a un prototipo y estudiado el SIS específico muy de cerca para construir un exploit a medida específicamente para el tipo de SIS utilizado por la víctima objetivo, en este caso, Triconex SIS de Schneider Electric.

¿Cómo funciona TRITON y qué puede hacer?
TRITON/TRISIS es un fragmento de malware altamente dirigido. No es un ataque escalable, ya que debe modificarse para cada organización objetivo, dado que cada SIS es exclusivo de la organización y la industria en la que se utiliza. Las variantes detectadas actualmente están diseñadas específicamente para manipular los productos Triconex.

Según los informes, el atacante primero obtuvo acceso remoto al SIS y luego implementó TRITON en una estación de trabajo basada en Windows con el objetivo de reprogramar los controladores SIS. La herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS es TriStation. El protocolo TriStation es propiedad y no es de acceso público. TRITON/TRISIS aprovecha este protocolo, lo que sugiere que el atacante realizó una ingeniería inversa al desarrollar el malware.

Una vez que el controlador SIS se ha visto comprometido, el atacante puede reprogramar el dispositivo para desencadenar deliberadamente un estado seguro, lo que se traduce en tiempo de inactividad no deseado y pérdidas financieras. Lo contrario también sería posible, permitiendo un escenario en el cual los atacantes podrían reconfigurar el SIS para permitir parámetros peligrosos sin entrar en el estado seguro predeterminado. Esto podría tener un impacto físico nefasto en la producción, en la planta en sí y, por supuesto, en la seguridad humana, de acuerdo con las firmas de seguridad que lo investigan.

¿Quién está afectado?
Los informes actuales indican que este malware ha afectado a organizaciones en Oriente Próximo. El mismo tipo de controladores de seguridad se utilizan ampliamente en infraestructuras críticas, a menudo en instalaciones de energía (petróleo y gas), y también a veces en instalaciones de energía nuclear o plantas de fabricación. Lo que podemos suponer es que este ataque sugiere que el agente de amenaza parece tener interés en causar un ataque de alto impacto con daño físico, descartando a los grupos de ciberdelincuencia comunes y corrientes

¿Qué significa esto para la seguridad de ICS?
El malware TRITON/TRISIS es ampliamente visto como un evento relativamente significativo en la comunidad ICS, mientras que otros cuestionan si eso no exagera la realidad dado que los hechos en este momento son dispersos y el análisis final aún no se ha hecho público. Debido a su potencial capacidad para causar un impacto físico, se considera el quinto malware específico adaptado para ICS y el primero en apuntar al SIS en particular, introduciendo así un nuevo componente en la superficie de amenazas de ICS. Se dice que TRITON/TRISIS es el siguiente en una línea de ataques de malware de alto perfil dirigidos a ICS con objetivos muy sofisticados. La cobertura sobre TRITON se ha comparado con otras familias de malware relacionadas con ICS, como Stuxnet, así como con Industroyer o BlackEnergy, que afectaron a empresas de distribución de electricidad principalmente en Ucrania.

Dirigirse a la infraestructura crítica para interrumpir, alterar o destruir sistemas no es nueva, sino más bien consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo por varios actores de amenazas a nivel global. TRITON es constante con estos ataques en los que podría evitar que los mecanismos de seguridad ejecuten su función prevista, derivando en una consecuencia física. Ahora, los sistemas modernos de control y automatización de procesos industriales dependen de una variedad de sofisticados sistemas de control y funciones de seguridad, por lo que el daño mecánico posible a través del controlador está limitado por cualquier sistema de seguridad mecánico desplegado dentro del ICS, también conocido como Tecnología Operacional. Por tanto, comprometer los controladores de seguridad no significa necesariamente que se vea comprometida la seguridad del sistema. Sin embargo, TRISIS debe verse como una ampliación de la segmentación de activos de ICS, otra vía para que los ciberdelincuentes potencialmente causen un daño significativo en un entorno de ICS. Definitivamente, aquí parece que la novedad radica en el enfoque en los sistemas de seguridad, y aunque todavía no se ha visto el daño real, el atacante ha diseñado un plan para ir tras los sistemas de seguridad.

Defensa y mitigación
La mitigación en caso de tal compromiso es importante. En el transcurso de un riesgo, es fácil encontrar fallos en un componente. Pero desde un punto de vista realista, una organización, además de cubrir los aspectos básicos, también debería realizar un estudio adecuado de su propio entorno OT específico. Esto no quiere decir que no sea fundamental contar con las mejores prácticas en las instalaciones, especialmente tener un firewall y un sistema de  segregación, que se supone que son una parte integral del diseño como se ve en el ejemplo del SIS. Los diseños integrados pueden ser tentadores por el coste que reducen y las oportunidades que ofrecen, pero los casos de estudio como TRISIS destacan reiteradamente el alto riesgo de ataque cibernético engendrado.

Trend Micro ha recompilado un listado de las estrategias defensivas básicas más importantes para ICS aquí.

Para obtener más información acerca de los sistemas ICS y cómo se configuran normalmente,  consulte las guías para los componentes ICS y para proteger los entornos ICS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.