triton malware

Malware Triton amenaza a la industria mundial

Existen múltiples peligros en Internet que pueden afectar desde un individuo hasta naciones completas, como es el caso del malware Triton.

Hace un par de años un grupo de ciberatacantes controló remotamente los sistemas de seguridad de una planta petroquímica saudí con este dañino malware.

Aunque fueron interceptados en 2017, las consecuencias podían haber sido catastróficas con resultados nunca antes vistos por un ataque informático.

Malware Triton

El malware Triton o Trisis, toma su nombre porque que se dirige a los controladores del sistema de seguridad instrumentado (SIS) de Triconex, que son vendidos por Schneider Electric.

Estos son responsables de cerrar las operaciones de la planta en caso de un problema y actuar como una defensa de seguridad automatizada para instalaciones industriales, diseñadas para evitar fallas en el equipo e incidentes catastróficos como explosiones o incendios.

De acuerdo con FireEye, Triton se disfraza como una aplicación Triconex Trilog legítima utilizada para revisar los registros del sistema.

“El malware se entregó como un script Python Py2EXE dependiente de un archivo zip que contiene bibliotecas Python estándar, bibliotecas de código abierto, así como el marco de ataque Triconex desarrollado por el atacante para interactuar con los controladores Triconex”, escribieron los investigadores en 2017.

Triton ha sido desarrollado para deshabilitar la seguridad de la planta y los mecanismos de prevención, abriendo la puerta a ataques físicos a la infraestructura y posiblemente a la pérdida de vidas. Click To Tweet

FireEye agregó que en un escenario menos desastroso, el malware también se puede usar para cerrar el proceso SIS de Triconex que se encuentra en un estado seguro, lo que interrumpe las operaciones de la planta y causa la inactividad del servicio.

La capacidad de afectar el proceso físico de la infraestructura crítica coloca a Triton en compañía de Stuxnet y el malware Industroyer / Crash Override que afectó la red de energía de Ucrania.

Los ataques de malware Triton

El primer ataque del malware Triton

Afortunadamente, hasta ahora, solo se han producido dos incidentes, lo que provocó que las alarmas se encendieran en las principales organizaciones dedicadas a la investigación y prevención de ataques informáticos.

El primer ataque fue registrado en una planta petroquímica (Petro Rabigh) en Arabia Saudí en el verano de 2017.

Estos buscaban controlar los sistemas instrumentados de seguridad de las fábricas. Dichos controladores físicos y su software asociado representaban la última línea de defensa contra los desastres que amenazan la vida de las personas.

Los sistemas de seguridad se deberían activar si detectan algunas situaciones peligrosas para volver a poner en funcionamiento el nivel seguro o apagar los sistemas por completo activando las válvulas de cierre y los mecanismos de liberación de presión.

Los atacantes lograron controlar estos sistemas de forma remota gracias al malware Triton. Si los intrusos hubieran logrado deshabilitarlos o manipularlos y después usar otro software para que la maquinaria de la fábrica funcionará mal, las consecuencias podían haber sido catastróficas.

Afortunadamente, un error en el código delató a los ciberatacantes antes de que pudieran hacer daño. En junio de 2017, eso provocó una respuesta del sistema de seguridad que paralizó la fábrica. Después, en agosto, se activaron varios sistemas adicionales, causando otro apagón.

El primer corte de servicio se atribuyó erróneamente a un fallo mecánico. Después del segundo, los dueños de la planta llamaron a los investigadores.

En el peor de los casos, el código malicioso podía haber causado explosiones o la liberación de gas de sulfuro de hidrógeno tóxico, poniendo en riesgo tanto las vidas de las personas en la fábrica como las del área circundante.

El segundo ataque del malware Triton

En un reciente informe de la revista ThreatPost, sobre el segundo ataque del malware, que todavía está siendo remediado activamente, se reveló que los ciberatacantes estuvieron al acecho de la red en la organización durante más de un año, antes de lograr acceder a una estación de trabajo de ingeniería,según la investigación de FireEye publicada en la Cumbre de analistas de seguridad 2019.

Según el informe, los atacantes a lo largo de ese periodo parecían dar prioridad a la seguridad operativa para permanecer fuera del radar.

“[A menudo,] se implementa un malware como Triton, y los atacantes … esperan el momento adecuado para usarlo”, según el análisis. “Durante este tiempo, el atacante debe garantizar el acceso continuo al entorno de destino”.

Los desarrolladores de Triton están siguiendo un patrón común que se observa en las intrusiones sofisticadas relacionadas con ICS: pasar de la red corporativa a las redes de tecnología operativa (OT), a través de sistemas que son accesibles para ambos entornos.

El análisis de FireEye mostró que en este segundo incidente, después de establecer un punto de apoyo inicial en la red corporativa, los desarrolladores de Triton centraron la mayor parte de sus esfuerzos en obtener acceso a la red OT.

Los atacantes aprovecharon docenas de herramientas de intrusión personalizadas nunca antes vistas para hacer precisamente eso.

Estas herramientas a menudo reflejaban la funcionalidades básicas y son desarrolladas con un enfoque para evadir los antivirus convencionales.

Los atacantes usaban estas herramientas para despistar a los antivirus o cuando estaban en una fase crítica de la intrusión, cambiando las Backdoors personalizadas en la red empresarial o en las redes operativas, justo antes de acceder a la estación de trabajo de ingeniería.

En algunos casos, el malware utilizó una combinación de herramientas personalizadas y de productos básicos; por ejemplo, FireEye observó el uso de Mimikatz (público) y SecHack (personalizado) para la recolección de credenciales; Ambas herramientas proporcionan una salida muy similar.

Parece que algunas de estas herramientas se remontan a 2014, un interesante rastro del seguimiento de la evolución de Triton, y hacia dónde se dirige.

Cabe destacar que los investigadores de FireEye nunca antes se habían encontrado con ninguna de las herramientas personalizadas de este malware, a pesar del hecho de que muchas de ellas datan de varios años antes del primer ataque de Triton.

Esto puede significar que los atacantes están muy interesados en la seguridad operacional y en otros entornos parecidos.

En general, los atacantes evitaron actividades de espionaje abiertas, como el uso de registradores de teclas y capturadores de pantalla, archivos de navegación y / o extraer grandes cantidades de información, anotó FireEye.

Algo que llamó la atención de los investigadores fue el hecho de que la mayoría de las herramientas de ataque utilizadas se centran en el reconocimiento de redes, el movimiento de los usuarios en el entorno objetivo.

Además, el malware vulnero el sistema de control distribuido (DCS), sin embargo, no aprovechó ese acceso para aprender sobre las operaciones de la planta, ni extraer información sensible o manipular los sistemas DCS.

Usaron dicha vulnerabilidad para acceder a una estación de trabajo de ingeniería SIS y desde ese punto en adelante, enfocaron los esfuerzos para crear un Backdoor utilizando el framework de Triton.

El análisis también muestra que los atacantes utilizaron múltiples técnicas para ocultar sus actividades, cubrir sus huellas y disuadir el examen forense de sus herramientas y actividades.

Por ejemplo, cambiaron el nombre de sus archivos para que se vean legítimos, como los archivos de actualización de Microsoft o una aplicación de Schneider Electric legítima; también usaban rutinariamente herramientas estándar que imitaban las actividades legítimas de los administradores, incluido el uso intensivo de RDP y PsExec / WinRM. Y al plantar shells web en los servidores de Outlook Exchange, modificaron los archivos legítimos ya existentes flogon.js y logoff.aspx.

Los atacantes intentaron reducir la posibilidad de ser observados durante actividades de mayor riesgo interactuando con los controladores de destino durante horas fuera de la hora de trabajo.

Esto aseguraría que hubiera menos trabajadores en el lugar para reaccionar ante posibles alarmas causadas por la manipulación del controlador.

Los analistas aún no han revelado qué daño, si lo hubo, causó el ataque. Y, dijeron que queda mucho por conocer acerca del malware en sí.

“La intrusión del Tritón está envuelta en un misterio”, según el informe. “Ha habido cierta discusión pública en torno al marco de Triton y su impacto en el sitio de destino, sin embargo, se ha compartido poca o ninguna información sobre las tácticas, técnicas y procedimientos (TTP) relacionados con el ciclo de vida de la intrusión, o cómo el ataque lo hizo profundo”. suficiente para impactar los procesos industriales ”.

FireEye ha atribuido anteriormente la actividad de intrusión a un instituto de investigación técnica del gobierno ruso en Moscú.

Conclusión

El malware Triton resulta ser muy peligroso, debido a la naturaleza de su ataque dirigido a sistemas de seguridad industrial (sistema de seguridad instrumentado (SIS) de Triconex).

Esto lo convierte en el primer ciberataque que amenaza directamente la vida de las personas y por tal motivo ha encendido las alarmas mundiales.

Al ser un malware tan sofisticado y peligroso, las formas para defendernos de él son pocas, sin embargo, es posible prevenir ataques de este tipo tomando medidas de seguridad avanzadas como sistemas de Sandboxing, sistemas de prevención de intrusos, protección contra ataques de día cero, Next Generation Firewall (NGFW), entre otras soluciones.

Send this to a friend