Investigadores de
FireEye han publicado un exhaustivo análisis de TRITON, también conocido como
Trisis, integrante de una familia de malware desarrollada para comprometer los
sistemas de control industrial.
El equipo de
prácticas avanzadas de Mandiant, la consultoría en inteligencia del grupo
FireEye, se propuso realizar una profunda investigación en las metodologías
utilizadas para responder a un ataque.
Durante ese periodo
descubrió que los equipos afectados son comúnmente utilizados en instalaciones
de petróleo y gas, así como en las de energía nuclear o en fábricas. En líneas
generales, TRITON está diseñado para cambiar o incluso desactivar los productos
Triconex, conocidos como sistemas de seguridad (SIS, en traducción libre), de
la misma manera como los sistemas de control distribuidos, los cuales son
comandados por operadores responsables del monitoreo de los procesos.
Dentro de la
investigación.- Los autores de amenazas detrás de la estructura de malware
TRITON, utilizaron la ingeniería inversa – un profundo estudio del
funcionamiento de un dispositivo con un análisis de su estructura,
funcionamiento y operación – de un controlador Triconex. A partir de un
software legítimo aprendieron su protocolo y desarrollaron un malware adaptado
a ese lenguaje.
El conocimiento del
autor de la amenaza TRITON y su esfuerzo de ingeniería inversa, proporcionan
una mejor comprensión del protocolo, de donde se comienza a formar una imagen
más completa y a documentar la funcionalidad básica de TriStation. Es
importante resaltar que TriStation es un protocolo de red propietario y no hay
documentación pública que detalle su estructura o cómo crear aplicaciones de
software que lo utilicen.
En este aspecto, es
fundamental evaluar el mensaje del comando de ejecución, que ilustra la
estructura general del protocolo. Con él, los autores de las amenazas están
aptos para acceder a varias versiones del software y descubrir sus
vulnerabilidades.
La teoría inicial de
los investigadores de Mandiant era que los autores compraron un controlador y
un software Triconex para sus propias pruebas e ingeniería inversa. La segunda
hipótesis es que era la versión demo del software, la cual permite una
ingeniería inversa suficiente de TriStation para el framework. Otra idea sería
el robo de bibliotecas de TriStation Python de empresas, subsidiarias o
integradores de sistema ICS, los cuales fueron utilizados para el desarrollo de
la base de TriStation y, en consecuencia, del malware TRITON.
Sin embargo, ellos
podrían haber tenido prestado el software TriStation o el hardware Triconex y
los conectores Python, propiedad del gobierno, o sea, utilizándolos de modo
legítimo. Y fue exactamente lo que los autores hicieron: revirtieron el código
original para reforzar el desarrollo de la estructura del TRITON.
De esta forma, actúan
de manera más inteligente y no más difícil. Pero después de la ingeniería
inversa del software legítimo y la implementación de los conceptos básicos de
TriStation, los autores todavía tenían una comprensión incompleta del
protocolo, lo que posibilitó el descubrimiento de su actuación.
CONCLUSIÓN
A través del trabajo
de investigación, los investigadores de Mandiant clasificaron como principal
motivación el daño físico debido al direccionamiento de seguridad de los
controladores de sistema Triconex (SIS).
Se descubrió que el
proceso de desarrollo fue más fácil de lo que se pensaba al inicio del
análisis. En vista de ello, se espera que otros agentes de amenazas adopten
enfoques similares en el desarrollo de herramientas para explorar los sistemas
ICS, principalmente cuando los invasores migran de un espacio de TI para OT
(tecnología de operación).
Recomendación
Además de seguir monitoreando el
comportamiento y acciones de estos grupos, realizar discusiones públicas acerca
de las tecnologías de ICS e integrar a los fabricantes con las empresas, para
que compartan buenas prácticas y eviten las intrusiones en sus ambientes,
afectando las tecnologías dominantes de seguridad industria.
Fuente: Diarioti.com