18 декабря 2017

Атака TRITON. Комментарий эксперта Kaspersky Lab ICS CERT

Компания FireEye опубликовала данные о новой атаке, которая вызвала сбой в работе системы противоаварийной защиты предприятия. Несмотря на то, что атака не привела к серьезным последствиям, данный инцидент свидетельствует о способности киберпреступников нанести физический ущерб и прерывать выполнение критически важных технологических процессов. Исследователи FireEye не раскрывают информации о пострадавшем предприятии.

Согласно отчету FireEye, для совершения атаки злоумышленники использовали новое вредоносное ПО TRITON, созданное специально для нарушения работы системы противоаварийной защиты Triconex Safety Instrumented System (SIS) от Schneider Electric. Эти системы широко распространены в нефтегазовой отрасли и ядерной энергетике и используются для мониторинга потенциально опасных условий и предотвращения аварий.

В ходе атаки злоумышленники получили удаленный доступ к рабочей станции Triconex SIS под управлением Windows и под видом легитимного приложения для проверки логов установили вредоносное ПО для перепрограммирования контроллеров SIS, которое эксперты FireEye назвали TRITON. В процессе перепрограммирования некоторые контроллеры перешли в безопасный режим (то есть режим предотвращения нештатной ситуации), что вызвало автоматическое завершение технологического процесса. По мнению специалистов FireEye, останов технологического процесса не входил в первоначальный замысел атакующих и произошел случайно.

Компания Schneider Electric сообщает, что TRITON может сканировать промышленные сети с целью проведения разведки на этапе планировании атаки. При этом вредоносная функциональность TRITON может быть запущена только если контроллеры Triconex находятся в режиме «PROGRAM». Поэтому производитель рекомендует следить за тем, чтобы этот режим был выключен, и использовать его только для настройки контроллеров.

Источники: FireEye, Schneider Electric

Комментарий эксперта

Руководитель центра компетенции по защите критической инфраструктуры Евгений Гончаров:

Инженеры и операторы систем промышленной автоматизации очень часто путают функциональную безопасность и кибербезопасность, надеясь на противоаварийные системы и полагая, что они смогут защитить от кибератак. Однако сами противоаварийные системы могут стать целью злоумышленников и пасть жертвой кибератаки. Строго говоря, мы уже наблюдали реализацию подобных сценариев на практике. Например, атаки на энергосистемы Украины в декабре 2015 и 2016 также были нацелены (в первом случае – опосредовано, во втором – напрямую) на противоаварийные системы – терминалы РЗА.

Противоаварийные системы могут быть даже более привлекательной целью для атакующих, чем системы управления технологическим процессом. Дело в том, что логика работы противоаварийных систем обычно проще и, главное, универсальнее, чем логика систем управления. Она определяется, как правило, только физическими ограничениями технологических установок и в меньшей степени зависит от особенностей реализации технологического процесса на том или ином предприятии. Эти системы – стандартизированы и типизированы. Соответственно, злоумышленникам проще разрабатывать универсальные средства для атак.

Выявленный инцидент демонстрирует одну из важных особенностей атак на промышленные предприятия: они могут быть лишены признаков вредоносной компьютерной активности, поскольку заложенная их разработчиками вредоносная функциональность направлена не на традиционно защищаемые от кибератак системы, такие как рабочие станции и серверы, а на промышленные установки и прочие физические объекты.

Для защиты от подобных атак специалисты Kaspersky Lab ICS CERT рекомендуют использовать технологии мониторинга и контроля целостности системы, включая сетевые подключения и запуск приложений, а также глубокий анализ сетевых коммуникаций.