Malware übernahm Fernsteuerung einer Workstation
In einem hauseigenen Blogeintrag beschrieb die Cybersecurity-Firma FireEye, dass das Security-Team auf den Angriff reagierte, als die neue Malware die Fernsteuerung einer Workstation mit einem „Schneider Electric Triconex Safety Instrumented System“ übernahm, wie elektronikpraxis.vogel.de dazu berichtete.
Das abgekürzt SIS genannte System wird in Öl- und Gaskraftwerken und kerntechnischen Anlagen eingesetzt, um kritische industrielle Prozesse zu überwachen und bei Überschreitung der Sicherheitsgrenzwerte automatisch abzuschalten. Laut einem Bericht der EE Times soll sich die betroffene Anlage im Mittleren Osten befinden.
Triton attackiert Sicherheitssteuerungen
Die Triton Malware versuchte nach der Übernahme, die SIS-Controller neu zu programmieren. Einige Steuerungen gingen in einen Failsafe-Modus, der den industriellen Prozess abschaltete und den Besitzer der Anlage dazu aufforderte, den Angriff zu untersuchen und zu identifizieren.
Wie weiter dazu vom FireEye Blog verlautete, besitzt Triton die Fähigkeit, Sicherheitssysteme daran zu hindern, wie beabsichtigt zu funktionieren. Ein Umstand der fatale Konsequenzen haben kann. Im Gegensatz zu Angriffen früherer „Industrie-Schädlinge“, wie Stuxnet, die ausgerichtet auf Infrastruktursysteme wie Energie- und Wasserversorgungsunternehmen zerstörerisch agierten, attackiert Triton gezielt industrielle Sicherheitssteuerungen.
Was sind die Ziele der Attacke?
Laut FireEye, das weder Angreifer, Opfer noch Standorte identifizierte, ist der Angriff charakteristisch für einen Nationalstaat, nicht für Cyberkriminalität: Ziel sei es gewesen, eine kritische Infrastruktur gezielt zu attackieren um sie zu stören, zu degradieren oder direkt zu zerstören. Ein klares monetäres Ziel, etwa in Form von Ransomware-Erpressung, läge hingegen nicht vor.
Bei den Angreifern geht man davon aus, dass sie über spezielles technisches Fachwissen verfügen müssen, um den speziellen Prozess zu verstehen, den das SIS am Ort des Opfers steuert und wie man ihn manipuliert, sowie die spezifischen SIS-Controller, die dort eingesetzt werden. Einzelheiten seiner eigenen Untersuchung erläuterte Schneider Electric auf der Sicherheitskonferenz S4x18 im Januar.
Wahrscheinlich war Triton nur eine vorbereitende Maßnahme
Das Threat Intelligence Team des auf Cybersicherheit spezialisierten Unternehmens CyberX hat sein eigenes unabhängiges Reverse-Engineering der Triton-Malware durchgeführt, erwähnte Phil Neray, Vice President of Industrial Cybersecurity, gegenüber der EE Times:
"Wir glauben, dass das Ziel der so geschaffenen Back Door darin bestand, sich einen dauerhaften Zugriff auf die Steuerung zu verschaffen, selbst wenn sich der Speicherschutzschlüsselschalter der Steuerung im RUN-Modus befindet"
"Vermutlich bestand der Zweck des Angriffs darin, das Sicherheitssystem zu deaktivieren, um den Grundstein für einen zweiten Cyberangriff zu legen, der zu katastrophalen Schäden an der Anlage selbst führen würde, die möglicherweise zu großen Umweltschäden und zum Verlust von Menschenleben führen könnten".
Weiterführende Links:
Kritische Infrastrukturen von Malware Triton bedroht
fireeye.com: Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
youtube.com: Einzelheiten der Untersuchung der Attacke durch Schneider Electric
elektronikpraxis.vogel.de: Erste gezielte Malware-Attacke auf industrielle Sicherheitssysteme
