Выступая на конференции по вопросам безопасности ICS-систем (S4x18), проведенной в Майами на прошлой неделе, представители Schneider Electric впервые заявили во всеуслышание, что зловред Triton, атаковавший одного из клиентов компании, использовал уязвимость нулевого дня в прошивке контроллеров Tricon/Triconex. Расследование показало, что в результате эксплойта в инструментальную систему безопасности (SIS) был внедрен RAT-троян.

О существовании вредоносного ПО Triton, или Trisis, стало известно неделю назад, когда FireEye и Dragos опубликовали результаты анализа этого «фреймворка для проведения атак» на объекты критической инфраструктуры. Новый хакерский инструмент был обнаружен благодаря тому, что после заражения два SIS-контроллера перешли в безопасный режим, и текущий производственный процесс был приостановлен. Как пояснил репортер Dark Reading, ИБ-службы обычно не следят за состоянием cистем отказоустойчивого управления и противоаварийной защиты, в которых используются контроллеры Triconex, — те работают с тройным резервированием на тот случай, если одна из них откажет.

Schneider Electric провела собственное расследование и пришла к предварительному выводу, что Triton, атаковавший SIS-систему ее клиента, эксплойты не использует. Это заключение оказалось поспешным: как узнали участники S4x18, на самом деле данный зловред эксплуатирует уязвимость 0-day в прошивке Triconex, чтобы повысить привилегии. Более тщательное исследование также выявило результат такой атаки — загруженный в память RAT-троян. По данным Schneider, это первый в истории вирусописательства RAT, ориентированный на SIS-системы.

Тем не менее, реального физического ущерба злоумышленники причинить не смогли. «Мы теперь знаем, что настоящая атака была, скорее всего, невозможна, — заявил в интервью Dark Reading директор Schneider по кибербезопасности Эндрю Клинг (Andrew Kling). — Разработчики зловреда допустили ошибку, которая вызвала срабатывание Triconex и переход его в безопасный режим».

В FireEye тоже обнаружили баг в механизме, который Triton использует для доставки полезной нагрузки. «Этот скрипт успешно отработал, но затем откатил изменения, — заявил журналистам Блейк Джонсон (Blake Johnson), консультант Mandiant — компании, входящей в состав FireEye. — Сомнительно, что так и было задумано». По словам эксперта, другой полезной нагрузки, способной обеспечить полноценную атаку, они не обнаружили, поэтому определить конечную цель злоумышленников не смогли.

Как оказалось, жертва заражения использует контроллеры Tricon, поставляемые Schneider под брендом Triconex, с устаревшей прошивкой сборки 10.3. После этого инцидента разработчик решил обновить все прошивки версии 10.х, выпустил информационный бюллетень и пообещал в феврале представить инструмент для обнаружения и удаления специализированного зловреда на контроллерах Tricon.

Во избежание аналогичных атак Schneider рекомендует соблюдать правила безопасности, приведенные во всех руководствах по Triconex:

  • функции обеспечения кибербезопасности Triconex всегда должны быть включены;
  • системы противоаварийной защиты следует разворачивать только в изолированных сетях;
  • на местах надлежит ввести строгий контроль физического доступа к защитным контроллерам, периферийным устройствам и сети;
  • стойки с контроллерами должны запираться на ключ, а сами контроллеры никогда не следует оставлять в режиме PROGRAM;
  • все сменные носители (CD, USB, DVD и т. д.), используемые для обмена с изолированной сетью противоаварийной защиты, следует просканировать перед использованием на рабочих станциях Tristation или узлах, соединенных с этой сетью;
  • лэптопы и ПК, подключаемые к защитной сети или контроллеру Triconex, должны быть тщательно проверены на наличие вредоносного ПО;
  • терминалы оператора следует настроить таким образом, чтобы они сигнализировали о включении кнопки «режим PROGRAM» на каком-либо контроллере Tricon.

Тем не менее, аналитик Рид Уайтман (Reid Wightman) из Dragos предупреждает, что автор Triton-атаки может изменить логику прошивки контроллера и отменить переключение режимов, осуществленное вручную. «Даже если он [контроллер] работает в режиме RUN, его можно убедить в том, что это режим PROGRAM, и заставить принять код», — заявил эксперт журналистам Dark Reading.

По словам Уайта, большинство изученных им встроенных контроллеров имеют уязвимости в прошивке, в том числе из-за использования сторонних библиотек. «Контроллерам больше нельзя доверять», — убежден исследователь.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона