Tritonマルウェアが依然として重要である理由に関するSchneiderExec

昨年、謎のサイバー攻撃者グループがマルウェアキャンペーンを開始しました。これは、中東の施設の安全シャットダウンシステムを妨害するために、TritonまたはTrisisとして知られるようになりました。 2017年11月中旬にサイバーセキュリティ会社Dragosによって発見されたTritonマルウェアは、壊滅的な被害を引き起こした可能性があり、人命の損失と大規模な汚染を引き起こす可能性があります。ただし、マルウェアは、抑制しようとしたTriconex安全システムの緊急システムシャットダウン手順を誤ってトリガーし、発見につながるため、その目的を達成しませんでした。

したがって、Tritonは、現代の産業組織が直面しているサイバーセキュリティの脅威に対する具体的な警告となりました。ドラゴスがゼノタイムをダビングする攻撃の背後にあるハッカー集団は、ドラゴスの記事によると、「潜在的な、将来の破壊的な、あるいは破壊的なイベントを引き起こす」可能性が高いとのことです。サイバー企業は、この可能性に「中程度の自信」を持っていると述べていますが、この攻撃は他のサイバー犯罪者に安全計装システム全体を標的とする青写真を提供しているとも述べています。

ハッカーによって機器が侵害された一部のメーカーは、そのような攻撃を却下、軽視、または隠そうとしています。パブリックでは、シュナイダーエレクトリックは反対のアプローチを取りました。同社のサイバーセキュリティおよびシステムアーキテクチャのディレクターであるAndrewKlingは、次のように述べています。 「攻撃の本質が理解されると、この攻撃の独特の性質とこの種の攻撃の深刻さに気づきました。これが業界全体の行動の呼びかけになることは間違いありませんでした」と、最近「トリトンの1年後：継続的な業界全体のサイバーレジリエンスの構築」というタイトルの記事を書いたクリング氏は述べています。

[ IoTセキュリティサミット は、クラウドからエッジ、ハードウェアに至るまで、完全なIoTスタックを保護する方法を学ぶ会議です。 今すぐチケットを入手してください。 ]

Tritonがほとんどのマルウェアと一線を画しているのは、これが特に産業用制御システムを標的とする数少ないマルウェアの種類の1つであり、安全計装システムを標的とする最初の既知のマルウェアであるということです。 「これは、製品の古いレガシーバージョンが攻撃された1回限りのことではありませんでしたが、誰かが目標を達成するために安全システムを攻撃する必要があると感じた一種の攻撃でした」とKling氏は述べています。 「そして、私たちの頭を砂に埋めようとすることは、単に容認できる行動にはなりませんでした。」

業界の人々はどの程度知っていると思いますか Tritonマルウェア そして産業安全システムへの攻撃のより広範な脅威？

アンドリュークリング ：それは素晴らしい質問です。サイバーセキュリティの専門家として、私はそれが100パーセントそして絶対的であるべきだと思います。誰もがすぐに立ち上がって状況に対処するための行動を取る必要があります。

Triconex製品ラインのお客様向けにマルウェア検出サービスを実行しています。これらのTriconexセーフティコントローラーをいくつ製造したかがわかります。このマルウェアがこれらのデバイスに存在するかどうかを検出する方法を知っています。そして、このサービスをすべてのお客様に提供しました。現在、多くのお客様がデバイスにマルウェアが存在するかどうかを検出するために関与しており、他のサイトとの侵害を示す追加の兆候はありません。ただし、これはお客様にとって重要なサービスであると考えておりますので、引き続きプログラムを実施していきます。それもユニークだと指摘しておきます。私が知っているように、これはこのような安全装置でマルウェアを直接検出する最初のサービスです。

この脅威について業界を教育する上でシュナイダーエレクトリックはどのような役割を果たしていると思いますか？

クリング： これは、お客様が立ち上がって「プロセス制御システムやビジネスシステムに注意を払うのと同じくらい、安全システムにも注意を払う必要がある」と言うだけでなく、行動を促すものです。しかし、それはサービスプロバイダー、ネットワークプロバイダー、そして私たち自身のようなOEMへの行動の呼びかけです。

私は標準化委員会に所属しており、他の会社の同僚と交流しています。彼らは、これが彼らに関連するものであることに同意しています。シュナイダーエレクトリックは、この顧客が攻撃されたときに現場にあった安全システムであるために標的にされましたが、それは簡単に競合他社の1つであった可能性があります。彼らは、私たちが透明であり、攻撃がどのように行われたか、そしてこの攻撃でこの特定の顧客に対してどのようなスキルを使用したかを説明しているという事実を高く評価しています。

この時点で、攻撃の背後にいる攻撃者についてどの程度知っていますか？

クリング： あなたはおそらく私と同じくらい知っているでしょう。

帰属に関する限り、私たちはそれが誰であるかについてほとんど知りません。国民国家については多くの憶測や報道がありました。最近、スキルが当初考えられていたよりも少ないと推測しているマルウェア会社が1つあります。攻撃者が誰であるかはわかりませんが、重要なスキルが必要だったことは知っています。攻撃者は、このような安全システムがどのように機能するか、および関連するプロセッサとプロトコルを理解する必要があります。この攻撃では、プロセス制御システムと同様に、分散制御システムが侵害されました。これらはすべて、一般的な方法では見つけられないスキルです。この攻撃を実行するには、誰かがこれらのスキルを習得するための大きな動機を持っている必要がありました。

では、攻撃者はこの種の機械の経験が限られていた可能性がありますか？
はい、または彼らは幅広い知性を持っていて、迅速に適応することができました。

これは推測ですが、彼らはいくつかの機器を持っていた可能性があります。しかし、彼らのマルウェアには複数のバグが含まれていました。マルウェアが何をするのかを実際に把握するために修正しなければならなかったバグです。これらのバグの1つが発生すると、安全システムが作動しました。システムは本来の機能を果たしており、私たちが思っていたほど多くの機器を持っていなかった可能性があることを示していました。そして、彼らはマルウェアを開発するためにサイトを使用していました

マルウェアがメモリにインストールされたRATであったことを私たちは知っています。それらには読み取り/書き込み-実行機能がありましたが、そのRATにインストールする最終的なペイロードを実際に回復することはできませんでしたか？

施設へのサイバーリスクを心配しているが、防衛において最優先事項が何であるかわからない産業組織に対して、どのようなアドバイスがありますか？

ちなみに、これは世界中の政府から顧客に今すぐ報道するように求められた質問です。

そして、私には答えがあります。ISA99ワーキンググループのメンバーとして、私たちはIEC62443サイバーセキュリティ標準を作成しています。これは、コンポーネントからネットワーク、システム、システムの配信、システムの保守まで、安全なプロセス制御システムとは何かを説明するパーツのファミリーです。したがって、「私のプラント用の新しい安全システムまたは新しいプロセス制御システムを購入するために入札を出している」と言いたい顧客の場合は、入札仕様で最初に言う必要があります。製品はこの規格に認定されている必要があります。産業用自動化制御システムの分野でセキュリティが何を意味するかを定義するために、この標準に注がれている世界中の専門家からの数百人年があります。そこで行われたすべての作業を活用し、その標準に準拠する製品を探す必要があります。彼らは、それに準拠する製品とそれに準拠するシステム、およびそれに準拠する配送組織を探す必要があります。そしてこれが、この分野を理解するためにサイバーセキュリティの博士号を取得する必要をなくす方法です。代わりに、彼らは自分の心と魂を標準に注ぎ込んだ博士号を活用することができます。

米国政府がNCCIC / ICS-CERTから作成しているドキュメントもあります。私たちはそれらの人々と標準で協力しています。 OTサイバーセキュリティコミュニティは緊密なコミュニティです。私たちはお互いを知り、定期的に協力しています。