image

Malware schakelt industrieel veiligheidssysteem uit

donderdag 14 december 2017, 17:17 door Redactie, 5 reacties
Laatst bijgewerkt: 15-12-2017, 09:18

Onderzoekers van securitybedrijf FireEye hebben malware ontdekt die ontwikkeld is om een industrieel veiligheidssysteem te manipuleren en dit ook bij een fabriek heeft gedaan. Triton, zoals de malware wordt genoemd, kan Triconex Safety Instrumented System (SIS) controllers aanpassen.

Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten sommige controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Volgens FireEye was het waarschijnlijk niet de bedoeling van de aanvaller om het systeem uit te schakelen.

De aanvaller had namelijk al toegang tot het DCS en had zo de mogelijkheid om het proces te manipuleren of de fabriek uit te schakelen. In plaats daarvan kozen ze ervoor om het SIS-systeem te compromitteren. Zodra er toegang tot het SIS-systeem was verkregen had de malware een commando kunnen geven om het proces uit te schakelen of opzettelijk defecte code naar de SIS-controller kunnen uploaden, waardoor die defect raakte.

In plaats daarvan probeerde de aanvaller gedurende een periode om binnen de gehackte omgeving functionele controllerlogica voor de SIS-controller te ontwikkelen en installeren. De pogingen zouden door een fout in de gebruikte aanvalsscripts zijn mislukt. Toch bleef de aanvaller volhouden. Dit suggereert volgens FireEye dat de aanvaller een ander doel had dan het uitschakelen van het proces.

Wat verder opvalt is dat de malware kort nadat er toegang tot het SIS-systeem was verkregen werd ingezet. Volgens het securitybedrijf wijst dit erop dat de malware al was gemaakt en getest. Hiervoor hadden de aanvallers toegang moeten hebben tot hardware en software die niet eenvoudig beschikbaar is. Daarnaast communiceert de malware via het gesloten TriStation-protocol waarvan geen documentatie openbaar is. Dit zou erop duiden dat de aanvaller het protocol zelf heeft gereverse engineered. Wie er achter de aanval zit en hoe de fabriek besmet raakte laat FireEye niet weten.

Reacties (5)
15-12-2017, 02:26 door Anoniem
Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.
15-12-2017, 08:52 door buttonius - Bijgewerkt: 15-12-2017, 09:45
Die Triton software en dat TriStation protocol lijken me een ernstig geval van security by obscurity. Kennelijk redelijk eenvoudig te reverse engineeren en daarna zo lek als een vergiet.
15-12-2017, 12:02 door MathFox
Door Anoniem: Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.
Als een fabriek een apart veiligheidssysteem heeft, dan gaat het om een inherent onveilige installatie. Zoals in het artikel al gesuggereerd is ging het de aanvallers niet om een shutdown van de fabriek te bereiken; in plaats daarvan werd er een poging gedaan om het veiligheidssysteem te herprogrammeren. Ik vermoed dat de indringers een poging deden om een meer explosieve vorm van sabotage te bereiken.

De aanvallers hebben tijd en geld; dat suggereert dat er een overheid achter zit. Je kunt nu kijken naar conflictgebieden en mogelijke doelwitten daar. En welke bedrijven zouden FireEye inschakelen?
15-12-2017, 16:14 door Anoniem
Als een fabriek een apart veiligheidssysteem heeft, dan gaat het om een inherent onveilige installatie.

Juist niet, in de industrie is het vaak verplicht een apart veiligheidssysteem te hebben!

Zelfs als een control systeem gehacked zou worden (of op elke andere manier zijn taak niet meer goed kan uitvoeren) dan zal het veiligheidssysteem Hollywood-achtige scenario's voorkomen en een fabriek altijd veilig uitschakelen. Hooguit is een shutdown of ander soort productie derving te veroorzaken. (Wat natuurlijk ook nooit zou mogen gebeuren).

Het is wel zaak om je veiligheidssysteem zoveel mogelijk te isoleren tov je controle systeem, liefst compleet los.
Daarnaast horen dit soort systemen ook altijd "op slot" te staan met een fysieke sleutel en/of schakelaar zodat software aanpassingen niet zomaar uitgevoerd kunnen worden, en juist dit soort aanvallen moet voorkomen. Dat lijkt hier dus ook al niet het geval te zijn (of was niet ingeschakeld)

Tenslotte zijn er in dit soort installaties ook nog fysieke veiligheidsmaatregelen, zoals breekplaten en speciale veiligheidskleppen. Deze zijn niet eens elektronisch en dus inherent veilig tegen elke vorm van (software)hacking.
19-01-2018, 09:50 door Anoniem
Het zou helpen als we wisten wat de fabriek produceerde en wellicht aan welk land het toebehoorde. Als we dit maar steeds niet durven te publiceren dan heeft de rest ook weinig waarde. Met genoeg expertise en volhardendheid kun je alles RE en fouten vinden.

De meerwaarde van dit soort rapportages voor IT beveiligers is gelegen in technische details, *niet* in het onthullen van de identiteit van het slachtoffer. Hoezo weinig waarde ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.