Schneider Exec über Warum Triton-Malware immer noch wichtig ist

Letztes Jahr startete eine mysteriöse Cyber-Angreifer-Gruppe eine Malware-Kampagne, die ist seitdem als Triton oder Trisis bekannt, um das Sicherheitsabschaltsystem in einer Anlage im Nahen Osten zu sabotieren. Die Triton-Malware, die Mitte November 2017 von der Cybersicherheitsfirma Dragos entdeckt wurde, könnte katastrophale Schäden verursacht haben – möglicherweise zu Todesfällen und weitreichender Umweltverschmutzung. Die Malware erreichte ihr Ziel jedoch nicht, da sie versehentlich die Notabschaltung des Triconex-Sicherheitssystems auslöste, die sie unterdrücken wollte, was zu ihrer Entdeckung führte.

Triton wurde somit zu einer greifbaren Warnung vor den Bedrohungen der Cybersicherheit, denen moderne Industrieunternehmen ausgesetzt sind. Das Hackerkollektiv hinter dem Angriff, das Dragos Xenotime nennt, wird wahrscheinlich weiterhin „ein potenzielles, zukünftiges störendes – oder sogar destruktives – Ereignis verursachen“, so ein Dragos-Artikel. Die Cyber-Firma gibt an, dass sie „mäßiges Vertrauen“ in diese Möglichkeit hat, stellt aber auch fest, dass der Angriff anderen Cyberkriminellen eine Blaupause für das gezielte Angriff auf sicherheitsgerichtete Systeme im Allgemeinen bietet.

Während einige Hersteller, deren Geräte von Hackern gehackt wurden, solche Angriffe abgetan, heruntergespielt oder sogar versucht haben, vor den Öffentlichkeit verfolgte Schneider Electric einen gegenteiligen Ansatz. „Wir wussten, dass ein gewisses Maß an Transparenz erforderlich war“, sagte Andrew Kling, Direktor für Cybersicherheit und Systemarchitektur des Unternehmens. „Als wir die wahre Natur des Angriffs verstanden hatten, erkannten wir die Einzigartigkeit und die Schwere dieser Art von Angriff. Wir wussten definitiv, dass dies ein Aufruf zum Handeln für die gesamte Branche sein würde“, sagte Kling, der kürzlich einen Artikel mit dem Titel One Year After Triton:Building Ongoing, Industry-Wide Cyber ​​Resilience verfasst hat.

[ IoT-Sicherheitsgipfel ist die Konferenz, auf der Sie lernen, den gesamten IoT-Stack zu sichern, von der Cloud über den Edge bis hin zur Hardware. Hol dir jetzt dein Ticket. ]

Was Triton von der meisten Malware unterscheidet, ist, dass es sich um eine von wenigen Malware-Typen handelt, die speziell auf industrielle Steuerungssysteme abzielen, und die erste bekannte Malware, die auf sicherheitsgerichtete Systeme abzielt. „Dies war nicht nur eine einmalige Sache, bei der eine ältere Legacy-Version eines Produkts angegriffen wurde, sondern eine Art Angriff, bei dem jemand der Meinung war, dass ein Angriff auf ein Sicherheitssystem erforderlich ist, um sein Ziel zu erreichen“, sagte Kling. „Und zu versuchen, den Kopf in den Sand zu stecken, war einfach kein akzeptables Verhalten.“

Was glauben Sie, inwieweit sich die Leute in der Branche bewusst sind Triton-Malware und die allgemeine Bedrohung durch Angriffe auf industrielle Sicherheitssysteme?

Andrew Kling :Das ist eine tolle Frage. Als Cybersicherheitsprofi denke ich, dass es 100 Prozent und absolut sein sollte. Jeder sollte sofort aufstehen und Maßnahmen ergreifen, um die Situation zu beheben.

Wir haben einen Malware-Erkennungsdienst für unsere Kunden der Triconex-Produktlinie betrieben. Wir wissen, wie viele dieser Triconex-Sicherheitssteuerungen wir produziert haben. Wir wissen, wie man erkennt, ob diese Malware auf diesen Geräten vorhanden ist. Und diesen Service bieten wir all unseren Kunden an. Viele Kunden haben sich jetzt mit uns in Verbindung gesetzt, um zu erkennen, ob Malware auf ihren Geräten vorhanden ist, und es gibt keine zusätzlichen Anzeichen für eine Kompromittierung mit anderen Websites. Aber wir werden das Programm weiterführen, weil wir glauben, dass dies ein wichtiger Service für unsere Kunden ist. Ich möchte darauf hinweisen, dass es auch einzigartig ist. Dies ist, wie ich weiß, der erste Dienst, der Malware in einem solchen Sicherheitsgerät direkt erkennt.

Welche Rolle sehen Sie, dass Schneider Electric dabei hilft, die Branche über diese Bedrohung aufzuklären?

Kling: Dies ist ein Aufruf zum Handeln, nicht nur an unsere Kunden, aufzustehen und zu sagen:„Hey, wir müssen auf unser Sicherheitssystem genauso achten wie auf unsere Prozessleitsysteme und Geschäftssysteme.“ Aber es ist ein Aufruf zum Handeln an Service Provider, Netzwerkanbieter und OEMs wie uns.

Ich bin in Normungsgremien, wo ich mit meinen Kollegen in anderen Unternehmen interagiere, und sie sind sich einig, dass dies für sie relevant ist. Schneider Electric wurde ins Visier genommen, weil wir zufällig das Sicherheitssystem waren, das vor Ort war, als dieser Kunde angegriffen wurde, aber es hätte genauso gut einer unserer Wettbewerber sein können. Sie schätzen die Tatsache, dass wir transparent sind und erklären, wie der Angriff stattgefunden hat und welche Fähigkeiten sie bei diesem Angriff gegen diesen bestimmten Kunden eingesetzt haben.

Wie viel wissen wir zu diesem Zeitpunkt über die Angreifer hinter dem Angriff?

Kling: Sie wissen wahrscheinlich so viel wie ich.

Was die Zuschreibung angeht, wissen wir sehr wenig darüber, wer es sein kann. Es gab viele Spekulationen und Presse über Nationalstaaten. Vor kurzem hat ein Malware-Unternehmen spekuliert, dass die Fähigkeiten möglicherweise geringer sind als ursprünglich angenommen. Ich weiß zwar nicht, wer die Angreifer sind, aber ich weiß, dass bestimmte Fähigkeiten erforderlich waren, die nicht trivial waren. Der Angreifer müsste verstehen, wie ein solches Sicherheitssystem funktioniert und welche Prozessoren und Protokolle involviert sind. Bei diesem Angriff wurde das verteilte Leitsystem sowie das Prozessleitsystem kompromittiert. Dies sind alles Fähigkeiten, die Sie nicht auf gewöhnliche Weise finden. Jemand musste eine erhebliche Motivation haben, diese Fähigkeiten zu erwerben, um diesen Angriff auszuführen.

Es ist also wahrscheinlich, dass die Angreifer nur geringe Erfahrung mit dieser Art von Maschinen hatten?
Ja, oder sie hatten eine breite Intelligenz und konnten sich schnell anpassen.

Dies ist Spekulation, aber es ist wahrscheinlich, dass sie einige Ausrüstung hatten. Aber ihre Malware enthielt mehrere Fehler – Fehler, die wir beheben mussten, um tatsächlich herauszufinden, was die Malware tun sollte. Als einer dieser Fehler auftrat, löste er das Sicherheitssystem aus. Das System tat, was es tun sollte, und war ein Indikator dafür, dass sie möglicherweise nicht so viel Ausrüstung hatten, wie wir dachten. Und sie nutzten die Site, um die Malware zu entwickeln

Wir wissen, dass die Malware eine im Speicher installierte RAT war. Sie verfügten über Lese-, Schreib- und Ausführungsfunktionen, aber wir haben nie die endgültige Nutzlast wiederhergestellt, die in dieser RAT installiert werden sollte?

Welchen Rat haben Sie für Industrieunternehmen, die sich Sorgen über Cyberrisiken für ihre Einrichtungen machen, sich aber nicht sicher sind, was ihre obersten Prioritäten bei der Verteidigung sein sollten?

Diese Frage wurde mir übrigens von Regierungen auf der ganzen Welt an Kunden gestellt, die ich jetzt drücken soll.

Und ich habe eine Antwort:Als Mitglied der ISA99-Arbeitsgruppe produzieren wir den Cybersicherheitsstandard IEC 62443. Dies ist eine Teilefamilie, die erklärt, was ein sicheres Prozessleitsystem ist:von den Komponenten über das Netzwerk zum System zur Lieferung des Systems bis hin zur Wartung des Systems. Wenn Sie also ein Kunde sind, der sagen möchte:„Ich gebe ein Angebot für den Kauf eines neuen Sicherheitssystems oder eines neuen Prozessleitsystems für meine Anlage ab“, sollten Sie zunächst in seiner Angebotsspezifikation sagen. Ihr Produkt sollte nach diesem Standard zertifiziert sein. Es gibt Hunderte von Mannjahren von Fachleuten auf der ganzen Welt, die in diesen Standard geflossen sind, um zu definieren, was Sicherheit für den Bereich der industriellen Automatisierungssteuerungssysteme bedeutet. Sie sollten die gesamte Arbeit, die dort geleistet wurde, nutzen und nach Produkten suchen, die diesem Standard entsprechen. Sie sollten nach Produkten suchen, die dieser Richtlinie entsprechen, nach Systemen, die ihr entsprechen, und nach Lieferorganisationen, die ihr entsprechen. Und so können sie vermeiden, dass sie in Cybersicherheit promovieren müssen, um das Gebiet zu verstehen. Stattdessen können sie die Doktoranden nutzen, die ihr Herz und ihre Seele in den Standard gesteckt haben.

Es gibt auch Dokumente, die die US-Regierung aus NCCIC/ICS-CERT erstellt. Wir arbeiten mit diesen Leuten an Standards zusammen. Die OT-Cybersicherheits-Community ist eine engmaschige Gemeinschaft. Wir kennen uns und arbeiten regelmäßig zusammen.