Angreifer setzen das neue ICS-Angriffsframework "TRITON" ein - kritischen Infrastrukturen gehen in die Knie

Mandiant untersuchte kürzlich einen Vorfall in einer kritischen Infrastrukturorganisation: Ein Angreifer setze Malware zur Manipulation von industriellen Sicherheitssystemen ein. Die Systeme waren für die Notabschaltung von Industrieprozessen ausgelegt. Wir bei Mandiant/FireEye gehen davon aus, dass der Angreifer die Fähigkeit entwickelt hat, physische Schäden zu verursachen und dabei die unbeabsichtigten Abschaltungen herbeigeführt hat. Diese Malware nennen wir TRITON. Sie ist ein Angriffsframework, das für die Interaktion mit Triconex Safety Instrumented System (SIS) Controllern entwickelt wurde. Wir haben den Vorfall nicht einem bestimmten Angreifer zugeschrieben, obwohl wir glauben, dass die Aktivität mit den Angriffsvorbereitungen eines Nationalstaats gleichzusetzen ist.

TRITON ist eine von nur sehr wenigen, öffentlich bekannten, bösartigen Softwarefamilien, die auf industrielle Steuerungssysteme (Industrial Control Systems, ICS) abzielen. Sie folgt in die Fußstapfen von Stuxnet, die 2010 gegen den Iran eingesetzt wurde und Industroyer, von dem wir glauben, dass sie 2016 von Sandworm Team gegen die Ukraine eingesetzt wurde. TRITON ähnelt/gleicht diesen Angriffen: Es hindert Sicherheitsmechanismen daran, , ihre beabsichtigte Funktion zu erfüllen. Die Folgen sind physische Schäden.

Der Vorfall
Der Angreifer erhielt Fernzugriff auf eine SIS-Engineering-Workstation und setzte das TRITON-Angriffsframework ein, um die SIS-Controller neu zu programmieren. Während des Vorfalls traten einige SIS-Controller in einen ausfallsicheren Zustand ein, der den industriellen Prozess automatisch abschaltete und den Anlagenbetreiber zu einer Untersuchung veranlasste. Die Untersuchung ergab, dass die SIS-Controller einen sicheren Shutdown einleiteten, als der Anwendungscode zwischen redundanten Verarbeitungseinheiten eine Validierungsprüfung nicht bestanden hatte, was zu einer MP-Diagnosefehlermeldung führte.

Wir gehen aus folgenden Gründen davon aus, dass der Angreifer unbeabsichtigt den Betrieb abgeschaltet hat, während er die Fähigkeit entwickelte, physische Schäden zu verursachen:

  • Eine Modifikation des SIS könnte seine korrekte Funktionsweise verhindern und die Wahrscheinlichkeit eines Ausfalls erhöhen, der zu physischen Schäden führen würde.
  • TRITON wurde verwendet, um den Anwendungsspeicher auf SIS-Controllern in der Umgebung zu modifizieren, was zu einer fehlgeschlagenen Validierungsprüfung hätte führen können.
  • Der Fehler trat während des Zeitraums auf, in dem TRITON verwendet wurde.
  • Es ist unwahrscheinlich, dass bestehende oder externe Bedingungen isoliert einen Fehler während der Dauer des Vorfalls verursacht haben.

Attribution
FireEye hat diese Aktivität nicht mit einem Angreifer in Verbindung gebracht, den wir derzeit verfolgen. Wir gehen jedoch davon aus, dass der Angreifer von einem Nationalstaat unterstützt wird. Kritische Infrastrukturen als Ziel sowie die Hartnäckigkeit des Angreifers, das Fehlen eines klaren monetären Ziels und die technischen Ressourcen, die für die Entwicklung des Angriffsframeworks erforderlich waren, lassen auf einen ressourcenreichen nationalstaatlichen Angreifer schließen. Konkret unterstützen die folgenden Fakten diese Einschätzung:

Der Angriff richtete sich gegen das SIS. Dies lässt auf Interesse an einem hochwirksamen Angriff mit physischen Schäden schließen. Dies ist ein Angriffsziel, das normalerweise nicht von Cyber-Kriminalitätsgruppen verfolgt wird.

Der Angreifer setzte TRITON kurz nach dem Zugriff auf das SIS-System ein, was darauf hindeutet, dass das Tool vorkonfiguriert und getestet wurde, was wiederum den Zugriff auf Hard- und Software erfordert, die nicht überall verfügbar ist. TRITON ist auch für die Kommunikation über das proprietäre TriStation-Protokoll konzipiert, das nicht öffentlich dokumentiert ist. Das deutet darauf hin, dass der Gegner dieses Protokoll unabhängig rückwärts entwickelt hat.

Der Angriff auf kritische Infrastrukturen zur Störung, Schwächung oder Zerstörung von Systemen steht im Einklang mit zahlreichen Angriffs- und Aufklärungsaktivitäten, die weltweit von russischen, iranischen, nordkoreanischen, US-amerikanischen und israelischen nationalstaatlichen Akteuren durchgeführt werden. Derartige Eingriffe bedeuten nicht notwendigerweise eine unmittelbare Absicht, bestimmte Systeme zu stören und können auch die Vorbereitung auf einen Notfall sein.

Detailliertere Informationen zu den Fähigkeiten der TRITON-Malware und den Vorsichtsmaßnahmen, die Betreiber kritischer Infrastrukturen ergreifen sollten, finden Sie im englischen Report hier.