Trisis Malware découvert dans une installation industrielle supplémentaire

Lorsque les chercheurs en cybersécurité de Dragos et FireEye ont divulgué le malware Triton ciblant les systèmes de sécurité industrielle, ce fut une révélation. Triton a marqué la première découverte de logiciels malveillants destinés à provoquer une destruction physique. Le code l'a fait en ciblant un système instrumenté de sécurité industrielle, mais n'a heureusement pas été efficace pour provoquer une catastrophe.

L'attaque, également connue sous le nom de "Trisis", était entourée de mystère jusqu'à récemment. Les premiers rapports de l'attaque étaient vagues. Un acteur de l'État-nation était probablement à l'origine de l'attaque, qui a frappé quelque part au Moyen-Orient. Mais Triton a également servi de signal d'alarme en raison de son potentiel de destruction massive sous la forme d'une urgence dans une usine pétrolière et gazière.

« J'étais au Moyen-Orient environ une semaine avant que Triton ne frappe », se souvient Jason Haward-Grau, RSSI de PAS Global. Au cours d'une conversation, Haward-Grau a demandé à un directeur de la sécurité de la compagnie pétrolière ce qu'il pensait du niveau de cybersécurité de l'entreprise. "Eh bien, il m'a dit qu'il n'avait pas besoin de s'inquiéter de quoi que ce soit. Je me suis dit :'Wow, tu es la seule personne que j'ai rencontrée dans le domaine de la cybersécurité qui ne s'inquiète pas. Je n'arrête pas de m'inquiéter. Je ne peux pas dormir », a poursuivi Haward-Grau. Le professionnel de la cybersécurité basé au Moyen-Orient a ensuite expliqué les raisons pour lesquelles il pouvait bien dormir la nuit :« Nous sommes à court d'air. Nous avons des diodes de données. Et si tout se passe mal, nous avons un système SIS », a déclaré le directeur de la sécurité, faisant référence au système instrumenté de sécurité, qui est conçu pour permettre à une opération industrielle critique d'échouer en toute sécurité et en douceur en cas d'urgence.

[ Le monde de l'Internet des objets est l'intersection des industries et de l'innovation IoT. Réservez votre pass conférence et économisez 350 $, obtenez un pass expo gratuit ou consultez le Orateurs de sécurité IoT à l'événement.]

Une semaine plus tard, Trisis a frappé, ce qui a incité le professionnel de la cybersécurité à appeler Haward-Grau. « Il m'a appelé et m'a dit : « Écoutez, vous savez, comment j'ai dit que nous avions mis en place trois approches centrales pour la cybersécurité. Je suis un peu nerveux maintenant que nous n'ayons peut-être pas les trois.'"

Alors que Trisis a provoqué des ondes de choc dans le domaine de la cybersécurité industrielle dans les mois qui ont suivi sa découverte, les détails concernant le malware étaient rares. Maintenant, une image plus claire de l'attaque se dessine. La société de cybersécurité FireEye a confirmé le 10 avril avoir découvert une attaque supplémentaire dans une infrastructure critique distincte. L'année dernière, la société de cybersécurité a également annoncé qu'elle pensait que l'attaque avait des racines russes.

"Pour la plupart des propriétaires et opérateurs, peu importe que la Russie soit derrière cela ou qu'il s'agisse d'un groupe hacktiviste", a déclaré Emily S. Miller, directrice des programmes de sécurité nationale et d'infrastructures critiques chez Mocana. « Ce qui compte, c'est qu'ils peuvent provoquer de mauvaises choses. Et lorsqu'il s'agit d'infrastructures critiques, cela signifie des pertes de vie. »

FireEye a développé une image plus claire de la mécanique de Triton, qui a tiré parti de dizaines d'outils d'intrusion de base et personnalisés. Par exemple, SecHack a été utilisé pour la collecte d'informations d'identification tandis que Cryptcat, Bitvise, OpenSSH et PLINK ont créé des portes dérobées. Des outils personnalisés ont probablement aidé les attaquants à contourner les protections de cybersécurité.

L'impact d'une attaque réussie sur une cible du SIS pourrait être important. "Un mauvais acteur peut arrêter un processus [destiné à protéger une installation industrielle en cas d'urgence] en manipulant la configuration d'un système de sécurité", a déclaré Eddie Habibi, PDG de PAS Global dans un communiqué par courrier électronique. "Cependant, le vrai danger réside dans le fait que l'attaquant infiltre d'autres systèmes ICS dans la même installation que le système de sécurité", a-t-il poursuivi. Si cela se produit, un adversaire peut jeter les bases d'une catastrophe en modifiant les processus industriels pour dépasser les limites d'exploitation sûres, provoquant potentiellement des destructions physiques, des blessures, des décès et de la pollution. Dans l'installation où le malware a été identifié pour la première fois, Triton aurait pu interférer avec le fonctionnement d'un système de gestion de brûleur, déclenchant potentiellement la libération de gaz de sulfure d'hydrogène.

Triton, qui visait des équipements de Schneider Electric, pourrait également inspirer des attaques de copie qui visent non seulement à voler des données sensibles, mais aussi à provoquer des destructions physiques et des pertes de vie. "Je pense que nous avons vu la catalyse d'attaques similaires", a déclaré Miller. Et l'attaque fournit non seulement un modèle d'attaques contre le secteur pétrolier et gazier, qui aurait été ciblé lors de la première attaque Trisis annoncée, mais tout type d'infrastructure critique, y compris les systèmes d'automatisation des bâtiments. "Regardez Black Energy", a déclaré Miller, faisant référence au logiciel malveillant qui a joué un rôle dans la fermeture d'une partie du réseau électrique en Ukraine. «Quand c'est arrivé, c'était totalement nouveau et inédit. Maintenant, c'est quelque chose que vous pouvez acheter sur le dark web. Les adversaires qui développent de telles attaques dangereuses pourraient partager leurs tactiques avec des pirates informatiques partageant les mêmes idées en ligne, comme des cuisiniers sapant des recettes en ligne, a déclaré Miller.

Le potentiel d'un soutien accru de l'État-nation à de telles attaques est également troublant. "Avec la génération actuelle de systèmes de technologie opérationnelle (OT), un problème de cybersécurité non atténué est un problème de sécurité non atténué", a déclaré John Sheehy, vice-président des services stratégiques chez IOActive dans un communiqué par courrier électronique. Schneider a depuis lancé une campagne éducative pour transformer Triton en un "appel à l'action" pour l'industrie, a déclaré Andrew Kling, directeur de la cybersécurité et de l'architecture système chez Schneider Electric, dans une interview l'année dernière.

Les chercheurs de FireEye pensent que les États-nations pourraient développer de tels logiciels malveillants pour prendre en charge les opérations d'urgence plutôt que de lancer des attaques destructrices immédiates. La mise en place et l'orchestration potentielle d'une attaque comme Trisis nécessitent probablement des années de planification et d'investissement en temps de la part des acteurs de la menace, qui veillent à ce qu'ils aient un accès continu à l'environnement de leur cible. L'équipe de recherche FireEye pense qu'il a fallu près d'un an à l'adversaire pour étendre l'accès du réseau de sa cible à un poste de travail d'ingénierie SIS. Pendant ce temps, l'attaquant s'est soigneusement efforcé de masquer ses traces, par exemple en renommant les fichiers malveillants exécutables pour qu'ils ressemblent à des fichiers de mise à jour Microsoft. FireEye pense que les attaquants derrière Trisis sont actifs depuis au moins 2014.

John Sheehy, vice-président des services stratégiques chez IOActive et Miller a déclaré que le malware Triton devrait également servir d'impulsion pour intégrer des protections de cybersécurité holistiques dans les environnements industriels, plutôt que de se concentrer principalement sur des mesures défensives telles que la surveillance du réseau et la chasse aux menaces. Sheehy a également souligné l'importance d'intégrer des protections de sécurité physique dans les environnements industriels qui pourraient aider à atténuer une cyberattaque réussie axée sur la sécurité. « Dans la mesure du possible, les concepteurs doivent utiliser des commandes de sécurité orthogonales, telles que des soupapes de surpression mécaniques ou des régulateurs mécaniques, qui n'ont aucune coïncidence avec les systèmes de contrôle et ne peuvent donc pas être affectés par eux », a déclaré Sheehy. « Les implémentations OT d'aujourd'hui devraient se concentrer sur la gestion des conséquences d'une attaque de cybersécurité par le biais de protections et d'atténuations en couches utilisant des contrôles d'ingénierie non liés à la cybersécurité. Cela devrait être fait en mettant l'accent sur la résilience opérationnelle du processus et des opérations globales. »

« Allons à la racine de l'impact ici :nous devons renforcer et intégrer la sécurité dans ces appareils ICS dès le début », a déclaré Miller dans un communiqué par e-mail. "Jusqu'à ce que nous fassions cela, nous continuerons de nous laisser comme des canards assis pour des attaques d'infrastructures encore plus critiques comme celle-ci."