SIKKERHET

Skadevaren som får eksperter til å grøsse har infisert nytt anlegg for kritisk infrastruktur

Illustrasjonsfoto av Saudi Aramcos oljeraffineri i Saudi Arabia tatt i mai 2018. Det er uklart hvem som er rammet av den mystiske Triton-skadevaren.
Illustrasjonsfoto av Saudi Aramcos oljeraffineri i Saudi Arabia tatt i mai 2018. Det er uklart hvem som er rammet av den mystiske Triton-skadevaren. Foto: Reuters
10. apr. 2019 - 14:11

Ondsinnet programvare laget for å drepe kan få det til å gå kaldt nedover ryggen på noen og enhver. De siste par årene har flere advart om at dette kan være en høyst reell trussel.

I desember 2017 gikk alarmen ved oppdagelsen av skadevaren Triton, som kan manipulere fysiske anretninger i bruk ved atomkraftverk, olje- og gassinstallasjoner, vannkraftverk og annen kritisk infrastruktur.

Hendelsen ved et ikke-identifisert industrianlegg i Midtøsten, angivelig i Saudi-Arabia, viste at skadevaren gikk målrettet til verks mot løsningen Triconex fra Schneider Electric. Dette systemet består av fysiske kontrollenheter og programvare skal beskytte industrisystemer mot å løpe løpsk.

Morderisk skadevare

Triconex er et slags sistelinjeforsvar mot slik manipulering av installasjoner, som hvis de påføres skade kan få katastrofale følger. Systemet sørger for at blant annet maskiner, roboter, ventiler og motorer mottar styringsdata innenfor fastsatte, trygge parametre.

Triton skal være et rammeverk laget for å lure eller manipulere slike sikringsmekanismer. Går det galt kan en tenke seg fare for eksplosjoner med uante konsekvenser. Kanskje kan liv gå tapt. MIT Technology Report skrev nylig at trusselen er verdens mest morderiske skadevare.

Ikke en isolert hendelse

FireEye, det samme IT-sikkerhetsfirmaet som gjorde oppdagelsen for halvannet år siden, varsler i dag at Triton-hendelsen i 2017 ikke var en isolert hendelse.

De skal ha påvist nye angrep med samme skadevare mot et annet anlegg for kritisk infrastruktur. Som ved forrige infeksjon skal angriperne ha rettet seg mot systemer for overvåkning og beskyttelse av fysisk utstyr.

Uten å nevne offeret deler de nå en rekke funn etter å ha analysert hendelsen i sin ferske rapport, blant annet disse:

  • Straks trusselaktøren skaffet seg adgang til SIS-kontrollere (Safety Instrumented System), så fokuserte de utelukkende på å oppretteholde tilgangen, mens de forsøkte å installere Triton.
  • De kom seg også inn på det distribuerte kontrollsystemet, men utnyttet ikke dette til å lære om anleggets operasjoner, heller ikke til å hente ut sensitiv informasjon eller tukle med distribuerte kontrollere eller manipulere prosessen.
  • I stedet kom de seg inn på en arbeidsstasjon, og brukte den videre i sitt forsøk på å rulle ut og raffinere en nyttelast i form av en bakdør ved hjelp av Tritons angrepsrammeverk.
  • De forsøke å unngå risiko for å bli oppdaget ved å begrense manipuleringen av kontrollene de var ute etter til utenfor vanlig arbeidstid, altså på tider hvor det var færre arbeidere til stede på anlegget som kunne reagere på eventuelle alarmer som kan gå av.
  • Angriperne endret navn på filene sine, slik at de lignet ekte filer, som for eksempel  oppdateringer til Windows eller trilog.exe, som er en av Schneider Electrics legitime applikasjoner.

Aktive siden 2014

FireEye nevner i rapporten også en lang rekke navngitte verktøy angriperne skal ha brukt både til innbrudd og videre manipulasjon ved anlegget. Det inkluderer både kjente åpen kildekodeverktøy som Mimikatz og egne, skreddersydde verktøy.

Ifølge analysen av de skreddersydde innbruddsverktøyene mener selskapets eksperter at trusselgruppen må ha vært aktive helt siden tidlig en gang i 2014.

– Det er verdt å merke seg at vi aldri før har kommet over noen av denne trusselaktørens skreddersydde verktøy, selv om flere av dem kan dateres til flere år før den første kompromitteringen. Dette faktum og aktørens demonstrerte interesse for operasjonell sikkerhet antyder at det også kan være andre miljøer de retter seg mot – utover det andre innbruddet vi kunngjør nå – hvor de kan ha vært tidligere eller fortsatt er til stede, skriver IT-sikkerhetsselskapet.

Har funnet spor i flere anlegg

At det er flere ofre får støtte fra andre i bransjen. Senest i forrige måned intervjuet MIT Technology Report en sikkerhetsekspert som har vært engasjert i etterforskningen av 2017-hendelsen i Midtøsten, Julian Gutmanis.

Gutmanis jobber for IT-sikkerhetsselskapet Dragos, som også har analysert Triton-skadevaren og trusselgruppen bak. Dragos kaller grupperingen for Xenotime.

– Xenotime opererer globalt og påvirker regioner også langt utover Midtøsten, som var deres første mål. Etterretning antyder at gruppen har vært aktiv siden 2014, minst, og at de for tiden er aktive i flere anlegg og retter seg mot også andre sikkerhetssystemer enn bare Triconex. Denne trusselaktøren har ingen kjente assosiasjoner til andre grupper, oppgir Dragos på sine nettsider.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.