Opnieuw is een fabriek met een vitale infrastructuur slachtoffer geworden van de killer malware-code, Triton. Het betreft dezelfde malware die in 2017 de veiligheidssystemen van een petrochemische raffinaderij in Saudi Arabië infecteerde. Dit zeggen onderzoekers van het securitybedrijf FireEye, die de aanval ontdekte.
Triton is ontworpen om zich te nestelen in de netwerken van een doelwit om vervolgens hun industriële controlesystemen te saboteren. De aanvallen zijn gericht tegen energiecentrales en olieraffinaderijen met als doel de werking van de installaties te regelen. Door de controles in gevaar te brengen, kan een succesvolle aanval naast aanzienlijke verstoring een fabriek ook compleet vernietigingen. FireEye zou aanwijzingen hebben dat de Russische overheid achter de Triton-aanvallen zou zitten, aldus TechCrunch.
Aanval jaarlang voorbereid
Volgens het securitybedrijf hebben de aanvallers bij deze nieuwe aanval bijna een jaar gewacht, voordat ze zich dieper in het netwerk manoeuvreerden. Ze zouden eerst ruim de tijd hebben genomen om te leren hoe het netwerk eruit zag. Bovendien hebben de hackers onderzocht hoe ze van het ene systeem naar het andere konden gaan. Langs deze weg zouden de hackers geprobeerd hebben om stilletjes toegang te krijgen tot het veiligheidsinstrumentarium van de faciliteit. Het instrumentarium betreft een autonome monitor, die ervoor zorgt dat fysieke systemen niet werken buiten hun normale operationele status.
Ondanks dat deze kritieke systemen strikt gesegmenteerd zijn van de rest van het netwerk om schade te voorkomen in het geval van een cyberaanval, wisten de hackers toch door te dringen. Ze richtten zich op het vinden van een manier om de payloads van Triton effectief te implementeren om zo hun missie uit te voeren. Dit alles zonder dat de systemen in een zogeheten safe fail-over state terecht zouden komen.
Natiestaten
“Deze aanvallen worden ook vaak uitgevoerd door natiestaten, die mogelijk geïnteresseerd zijn in het voorbereiden van noodoperaties in plaats van een onmiddellijke aanval uit te voeren. Gedurende deze periode moet de aanvaller voor blijvende toegang tot de doelomgeving zorgen. Als dit niet gebeurt loopt de aanvaller het risico om jarenlange inspanningen en mogelijk dure, handgemaakte industriële besturingssysteem-malware te verliezen”, aldus FireEye.
Over de naam en locatie van de fabriek worden bewust geen uitspraken gedaan. De kans bestaat namelijk dat de hackers binnen dezelfde faciliteit nog actief zijn op andere doelen. Wel meldt Nathan Brubaker, senior manager analyse bij FireEye, dat het de hackers te doen was om fysieke schade aan te richten op het moment dat de faciliteit per ongeluk een processtop zou veroorzaken.
Meerdere doelen
De trage, langzame manier van aanvallen betekent dat de aanvallers erop gebrand waren niet gepakt te worden. Iets waarom de aanwezigheid van mogelijk meerdere doelen binnen de faciliteit niet wordt uitgesloten. In de hoop IT-personeel van andere risicovolle industrieën en faciliteiten attent te maken op dit soort malware aanvallen, publiceerde FireEye een lijst met hashes. Deze zouden uniek zijn voor de bestanden die te vinden zijn in de aanval van de tweede faciliteit.
FireEye: “Niet alleen kunnen deze tactieken, technieken en procedures worden gebruikt om bewijs van intrusies te vinden. Ook kan de identificatie van activiteiten, die sterke overlappingen hebben met de favoriete technieken van de actor, leiden tot sterkere beoordelingen van de actorassociatie. Hierdoor wordt de reactie op incidentrespons versterkt.”
Gerelateerd: Levensgevaarlijke ‘killer malware-code’ Triton breidt wereldwijd uit