追加の産業施設で発見されたTrisisマルウェア

DragosとFireEyeのサイバーセキュリティ研究者が産業安全システムを標的としたいわゆるTritonマルウェアを開示したとき、それはある種の啓示でした。 Tritonは、物理的な破壊を引き起こすことを目的としたマルウェアの最初の発見をマークしました。このコードは、産業安全計装システムを対象としていましたが、ありがたいことに、災害を引き起こすのに効果的ではありませんでした。

「トリシス」としても知られるこの攻撃は、最近まで謎に包まれていました。攻撃の初期の報告はあいまいでした。中東のどこかを襲った攻撃の背後には、国民国家の俳優がいた可能性があります。しかし、トリトンは、石油・ガスプラントで緊急事態の形で大規模な破壊を引き起こす可能性があるため、モーニングコールのような役割も果たしました。

「Tritonがヒットする約1週間前に中東にいました」と、PASGlobalのCISOであるJasonHaward-Grau氏は振り返ります。会話の中で、Haward-Grauは、石油会社のセキュリティディレクターに、同社のサイバーセキュリティのレベルについてどのように感じているかを尋ねました。 「まあ、彼は何も心配する必要はないと私に言った。私は考えました。「わあ、サイバーセキュリティで出会ったのはあなただけです。心配する必要はありません。心配するのをやめません。眠れない」とハワード・グラウは続けた。中東を拠点とするサイバーセキュリティの専門家は、夜もぐっすり眠れる理由を次のように語りました。データダイオードがあります。そして、すべてがうまくいかない場合は、SISシステムを使用します」とセキュリティディレクターは述べ、緊急時に重要な産業活動が安全かつ適切に失敗することを可能にするように設計された安全計装システムについて言及しました。

[ モノのインターネットの世界 は、業界とIoTイノベーションの交差点です。 を予約する 会議パス そして350ドル節約して、を手に入れましょう 無料のエキスポパス またはを参照してください IoTセキュリティスピーカー イベントで。]

1週間後、Trisisがヒットし、サイバーセキュリティの専門家はHaward-Grauに電話をかけました。 「彼は私に電話をかけ、次のように述べました。「サイバーセキュリティのための3つの中心的なアプローチが整っていると私が言った方法を聞いてください。 3つすべてが揃っていない可能性があるため、少し緊張しています。」

Trisisは、発見されてから数か月後に産業用サイバーセキュリティの分野に衝撃波をもたらしましたが、マルウェアを取り巻く詳細はまばらでした。現在、攻撃の全体像がより明確になっています。サイバーセキュリティ会社のFireEyeは、4月10日に、別の重要なインフラストラクチャ施設で追加の攻撃を発見したことを確認しました。昨年、サイバーセキュリティ会社は、攻撃がロシアにルーツを持っていると信じていることも発表しました。

「ほとんどの所有者と運営者にとって、ロシアがその背後にいるのか、ハクティビストグループであるのかは関係ありません」と、モカナの国家安全保障および重要インフラストラクチャプログラムのディレクターであるエミリーS.ミラーは述べています。 「重要なのは、悪いことが起こる可能性があるということです。そして、重要なインフラストラクチャに関して言えば、それは人命の損失を意味します。」

FireEyeは、数十のコモディティおよびカスタム侵入ツールを活用したTritonのメカニズムのより明確な図を作成しました。たとえば、SecHackはクレデンシャルの収集に使用され、Cryptcat、Bitvise、OpenSSH、およびPLINKはバックドアを作成しました。カスタムツールは、攻撃者がサイバーセキュリティ保護を回避するのに役立つ可能性があります。

SISターゲットに対する攻撃の成功の影響は重大である可能性があります。 「悪意のある人物は、安全システムの構成を操作することにより、[緊急時に産業施設を保護することを目的とした]プロセスをシャットダウンできます」とPASGlobalの最高経営責任者であるEddieHabibiは電子メールの声明で述べています。 「しかし、本当の危険は、攻撃者が安全システムと同じ施設内の他のICSシステムに侵入した場合にあります」と彼は続けました。それが起こった場合、敵は、安全な動作限界を超えるように産業プロセスを変更することによって災害の土台を築くことができ、物理的な破壊、負傷と死亡、および汚染を引き起こす可能性があります。マルウェアが最初に特定された施設では、Tritonがバーナー管理システムの機能を妨害し、硫化水素ガスの放出を引き起こす可能性がありました。

シュナイダーエレクトリックの機器を標的としたTritonは、機密データを盗むだけでなく、物理的な破壊や人命の損失を引き起こすことを目的とした模倣攻撃を引き起こす可能性もあります。 「私たちは同様の攻撃の触媒作用を見たと思います」とミラーは言いました。また、この攻撃は、最初に発表されたTrisis攻撃で標的にされたとされる石油・ガスセクターへの攻撃の青写真だけでなく、ビルディングオートメーションシステムを含むあらゆる種類の重要なインフラストラクチャを提供します。 「ブラックエナジーを見てください」とミラー氏は、ウクライナの電力網の一部をシャットダウンする役割を果たしたマルウェアについて言及しました。 「ヒットしたとき、それはまったく新しくて斬新でした。今では、ダークウェブで購入できるものです。」ミラー氏によると、このような危険な攻撃を仕掛ける敵は、料理人がレシピをオンラインで奪うのと同じように、志を同じくするハッカーと戦術を共有する可能性があります。

そのような攻撃のさらなる国民国家の支援の可能性もまた厄介です。 「現世代のオペレーショナルテクノロジー（OT）システムでは、軽減されないサイバーセキュリティの問題は軽減されない安全性の問題です」とIOActiveの戦略サービス担当副社長であるジョンシーヒーは電子メールの声明で述べています。シュナイダーエレクトリックのサイバーセキュリティおよびシステムアーキテクチャのディレクターであるアンドリュー・クリング氏は、昨年のインタビューで、トリトンを業界の「行動の呼びかけ」に変えるための教育キャンペーンを開始したと述べた。

FireEyeの研究者は、国民国家がそのようなマルウェアを増やして、即座に破壊的な攻撃を開始するのではなく、緊急時の操作をサポートする可能性があると考えています。 Trisisのような攻撃を設定し、潜在的に調整するには、標的の環境へのアクセスを継続するために働く脅威アクターからの何年もの計画と時間の投資が必要になる可能性があります。 FireEyeの研究チームは、攻撃者がターゲットのネットワークからSISエンジニアリングワークステーションへのアクセスを拡大するのに1年近くかかったと考えています。その間、攻撃者は慎重にトラックを非表示にしました。たとえば、実行可能マルウェアファイルの名前をMicrosoftUpdateファイルのように変更しました。 FireEyeは、Trisisの背後にいる攻撃者が少なくとも2014年から活動していると信じています。

IOActiveとMillerの戦略サービス担当バイスプレジデントであるJohnSheehyは、Tritonマルウェアは、ネットワーク監視や脅威ハンティングなどの防御手段に主に焦点を当てるのではなく、包括的なサイバーセキュリティ保護を産業環境に組み込むための推進力としても役立つはずだと述べました。 Sheehyはまた、安全指向のサイバー攻撃の成功を軽減するのに役立つ可能性のある物理的な安全保護を産業環境に組み込むことの重要性を強調しました。 「可能な場合、設計者は、機械式圧力逃し弁や機械式ガバナなど、制御システムとの一致がゼロであり、したがってそれらの影響を受けない直交安全制御を使用する必要があります」とSheehy氏は述べています。 「今日のOT実装は、サイバーセキュリティ以外のエンジニアリング制御を使用した階層化された保護と軽減を通じて、サイバーセキュリティ攻撃の結果を管理することに焦点を当てる必要があります。これは、プロセスと全体的な運用に運用上の回復力を提供することに重点を置いて行う必要があります。」

「ここで影響の根本的な原因に取り掛かりましょう。最初からセキュリティを強化し、これらのICSデバイスに組み込む必要があります」とミラー氏は電子メールの声明で述べています。 「それができるまでは、このようなさらに重大なインフラストラクチャ攻撃に備えて、アヒルのように座り続けます。」