Actualidad Info Actualidad

Se trata de un malware altamente dirigido que se modifica para cada organización objetivo

Triton, nueva amenaza de malware para sistemas de seguridad industrial

Trend Micro23/01/2018
575

Triton o Trisis (detectado por Trend Micro como TROJ_TRISIS.A) es un malware recientemente descubierto que ha sido diseñado para manipular sistemas de seguridad industrial y, más concretamente, estuvo involucrado en el cierre de las operaciones de una planta industrial (según se ha comunicado en un país de Oriente Próximo).

Imagen

Según los informes, la víctima en cuestión no sufrió daños ya que el sistema de la planta se cerró de manera segura. Sin embargo, la tecnología específica seleccionada se utiliza ampliamente en diversas industrias, especialmente en el sector de la energía, lo que deja a otras organizaciones vulnerables. Además, el cierre del sistema podría haberse desencadenado inadvertidamente como resultado de una actividad de exploración por parte de los atacantes, quienes intentaban aprender cómo funcionaba el sistema para su uso futuro.

El ataque Trisis supone el primer informe de atacantes que apuntan directamente a un sistema instrumentado de seguridad (https://www.automationworld.com/cyber-attack-hits-safety-system-critical-infrastructure). Como era de esperar, las comparaciones con Stuxnet dominan la cobertura sobre Triton. Pero, ¿qué es lo realmente novedoso aquí? A continuación, el equipo de investigación de Trend Micro, presenta bajo el formato ‘Preguntas Frecuentes’ lo que se sabe actualmente sobre el malware Triton, qué lo hace tan novedoso y lo que esto podría significar para la seguridad de los Sistemas de Control Industrial (ICS) en general.

Detección

Dos compañías han publicado informes que cubren este malware. Una empresa de seguridad descubrió malware ICS a medida en estado puro, desplegado contra al menos una víctima en Oriente Próximo, a mediados de noviembre de 2017. El malware fue descrito en un informe posterior y denominado Trisis porque se dirige a Triconex, el sistema de seguridad instrumentado (SIS) de Schneider Electric. Casi al mismo tiempo, se publicó otro informe de un proveedor de seguridad en el que se abordaba un incidente en una planta industrial que apuntaba a la misma familia de malware. Llamaron al malware ‘Triton’, también en referencia al sistema Triconex para el que fue específicamente adaptado.

¿Qué es SIS, el tipo de sistema para el que Triton/Trisis está diseñado sistemáticamente?

Muchos de los ataques más conocidos y de alto perfil relacionados con ICS de los últimos años han estado relacionados con sistemas de control de procesos como el Control de Supervisión y Adquisición de Datos (SCADA), lo que hace que los ataques SCADA sean relativamente omnipresentes. El malware Triton, sin embargo, se dirige por primera vez a los controladores de seguridad, es decir, a los llamados sistemas instrumentados de seguridad (SIS).

Los sistemas instrumentados de seguridad se utilizan para controlar el estado de los valores y parámetros de los procesos de una planta dentro de los límites operacionales. En condiciones de riesgo, están programados para activar alarmas y restablecer la planta a un estado seguro o apagarla de manera segura si los parámetros indican una situación potencialmente peligrosa. Estos controladores de seguridad han sido tradicionalmente sistemas separados y se supone que funcionan independientemente de otros equipos en una instalación con el único propósito de monitorizar la seguridad. Lo que sabemos sobre el escenario en cuestión es que el controlador Triconex SIS tenía su interruptor de llave en 'modo programa' durante el momento del ataque, y el SIS estaba conectado a la red de operaciones contra el estándar de buenas prácticas.

Si se observa el SIS en general y la información disponible públicamente, parece que quien planificó el ataque debería haber tenido acceso a un prototipo y estudiado el SIS específico muy de cerca para construir un exploit a medida específicamente para el tipo de SIS utilizado por la víctima objetivo, en este caso, Triconex SIS de Schneider Electric.

Imagen

¿Cómo funciona Triton y qué puede hacer?

Triton/Trisis es un fragmento de malware altamente dirigido. No es un ataque escalable, ya que debe modificarse para cada organización objetivo, dado que cada SIS es exclusivo de la organización y la industria en la que se utiliza. Las variantes detectadas actualmente están diseñadas específicamente para manipular los productos Triconex.

Según los informes, el atacante primero obtuvo acceso remoto al SIS y luego implementó Triton en una estación de trabajo basada en Windows con el objetivo de reprogramar los controladores SIS. La herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS es TriStation. El protocolo TriStation es propiedad y no es de acceso público. Triton/Trisis aprovecha este protocolo, lo que sugiere que el atacante realizó una ingeniería inversa al desarrollar el malware.

Una vez que el controlador SIS se ha visto comprometido, el atacante puede reprogramar el dispositivo para desencadenar deliberadamente un estado seguro, lo que se traduce en tiempo de inactividad no deseado y pérdidas financieras. Lo contrario también sería posible, permitiendo un escenario en el cual los atacantes podrían reconfigurar el SIS para permitir parámetros peligrosos sin entrar en el estado seguro predeterminado. Esto podría tener un impacto físico nefasto en la producción, en la planta en sí y, por supuesto, en la seguridad humana, de acuerdo con las firmas de seguridad que lo investigan.

¿Quién está afectado?

Los informes actuales indican que este malware ha afectado a organizaciones en Oriente Próximo. El mismo tipo de controladores de seguridad se utiliza ampliamente en infraestructuras críticas, a menudo en instalaciones de energía (petróleo y gas), y también a veces en instalaciones de energía nuclear o plantas de fabricación. Lo que podemos suponer es que este ataque sugiere que el agente de amenaza parece tener interés en causar un ataque de alto impacto con daño físico, descartando a los grupos de ciberdelincuencia comunes y corrientes.

Imagen

¿Qué significa esto para la seguridad de ICS?

El malware Triton/Trisis es ampliamente visto como un evento relativamente significativo en la comunidad ICS, mientras que otros cuestionan si eso no exagera la realidad dado que los hechos en este momento son dispersos y el análisis final aún no se ha hecho público. Debido a su potencial capacidad para causar un impacto físico, se considera el quinto malware específico adaptado para ICS y el primero en apuntar al SIS en particular, introduciendo así un nuevo componente en la superficie de amenazas de ICS. Se dice que Triton/Trisis es el siguiente en una línea de ataques de malware de alto perfil dirigidos a ICS con objetivos muy sofisticados. La cobertura sobre Triton se ha comparado con otras familias de malware relacionadas con ICS, como Stuxnet, así como con Industroyer o BlackEnergy, que afectaron a empresas de distribución de electricidad principalmente en Ucrania.

Dirigirse a la infraestructura crítica para interrumpir, alterar o destruir sistemas no es nueva, sino más bien consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo por varios actores de amenazas a nivel global. Triton es constante con estos ataques en los que podría evitar que los mecanismos de seguridad ejecuten su función prevista, derivando en una consecuencia física. Ahora, los sistemas modernos de control y automatización de procesos industriales dependen de una variedad de sofisticados sistemas de control y funciones de seguridad, por lo que el daño mecánico posible a través del controlador está limitado por cualquier sistema de seguridad mecánico desplegado dentro del ICS, también conocido como Tecnología Operacional. Por tanto, comprometer los controladores de seguridad no significa necesariamente que se vea comprometida la seguridad del sistema. Sin embargo, Trisis debe verse como una ampliación de la segmentación de activos de ICS, otra vía para que los ciberdelincuentes potencialmente causen un daño significativo en un entorno de ICS. Definitivamente, aquí parece que la novedad radica en el enfoque en los sistemas de seguridad, y aunque todavía no se ha visto el daño real, el atacante ha diseñado un plan para ir tras los sistemas de seguridad.

Defensa y mitigación

La mitigación en caso de tal compromiso es importante. En el transcurso de un riesgo, es fácil encontrar fallos en un componente. Pero desde un punto de vista realista, una organización, además de cubrir los aspectos básicos, también debería realizar un estudio adecuado de su propio entorno OT específico. Esto no quiere decir que no sea fundamental contar con las mejores prácticas en las instalaciones, especialmente tener un firewall y un sistema de segregación, que se supone que son una parte integral del diseño como se ve en el ejemplo del SIS. Los diseños integrados pueden ser tentadores por el coste que reducen y las oportunidades que ofrecen, pero los casos de estudio como Trisis destacan reiteradamente el alto riesgo de ataque cibernético engendrado.

Trend Micro ha recompilado un listado de las estrategias defensivas básicas más importantes para ICS aquí.

Para obtener más información acerca de los sistemas ICS y cómo se configuran normalmente, consulte las guías para los componentes ICS y para proteger los entornos ICS.

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

TOP PRODUCTS

NEWSLETTERS

  • Newsletter Seguridad

    23/04/2024

  • Newsletter Seguridad

    16/04/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

ENTIDADES COLABORADORAS

OTRAS SECCIONES

SERVICIOS