Analyse: TRITON / Trisis – Angrebet på Sikkerhedssystemerne (2017)
TRITON (også kendt som Trisis) markerede i 2017 en skræmmende milepæl i cybersikkerhedshistorien. Det var første gang, man opdagede malware, der var specifikt designet til at angribe og manipulere Safety Instrumented Systems (SIS) – de systemer, der er den sidste forsvarslinje mod katastrofale fysiske fejl på industrielt anlæg.
Hvad skete der?
Angrebet blev opdaget på et petrokemisk anlæg i Saudi-Arabien, efter at anlægget uventet var lukket ned flere gange. Efterforskningen viste, at hackere havde inficeret en operatør-station og derfra bevæget sig ind i sikkerhedssystemerne af typen Schneider Electric Triconex.
Malwaren var designet til at omprogrammere SIS-controllerne. Hvis det var lykkedes, kunne hackerne have forhindret sikkerhedssystemerne i at reagere på farlige situationer (som f.eks. overtryk eller ekstreme temperaturer), hvilket i værste fald kunne have ført til eksplosioner og tab af menneskeliv.
Sårbarheden og Indtrængningsmetoden
TRITON-angrebet var ekstremt målrettet og komplekst:
- OT-protokoller: Hackerne havde dyb viden om den proprietære TriStation-protokol, som bruges til at kommunikere med Triconex-enhederne.
- Zero-day sårbarhed: Malwaren udnyttede en sårbarhed i firmwaren til at få adgang til hukommelsen i controlleren.
- Fysisk kontakt: For at kunne omprogrammere controllerne, skal en fysisk nøglekontakt (key switch) på enheden ofte stå i “PROGRAM”-mode. I dette tilfælde var kontakterne efterladt i en position, der tillod fjern-omprogrammering, hvilket var en kritisk menneskelig fejl.
Læringspunkter for IT-sikkerhed
TRITON er et “wake-up call” for alle, der arbejder med kritisk infrastruktur:
- SIS-isolation: Sikkerhedssystemer (SIS) skal være fysisk og logisk adskilt fra det øvrige procesnetværk (BPCS).
- Key Switch Management: Fysiske nøglekontakter på PLC’er og sikkerhedscontrollere skal kun stå i program-mode under vedligeholdelse og skal ellers være låst i “RUN”-mode.
- Endpoint Security i OT: Operatørstationer (HMI), der har adgang til at konfigurere sikkerhedssystemer, skal være ekstremt hærdede og monitorerede.
- Anomali-detektering: Overvågning af industrielle protokoller er nødvendig for at opdage uautoriserede “write”-forsøg til kritiske enheder.
MITRE ATT&CK for ICS Referencer
TRITON er det mest kendte angreb på industrielle sikkerhedssystemer:
- T0880 - Safety Instrumented System (SIS) Abandonment: Forsøget på helt at deaktivere eller omgå sikkerhedssystemet.
- T0843 - Program Download: Upload af den ondsindede TRITON-kode direkte til SIS-controllerne.
- T0815 - Asset Identification: Brug af TriStation-protokollen til at scanne og identificere Schneider Electric-udstyr på netværket.
- T0852 - Unauthorized Command Message: Indsendelse af manipulerede kontrolbeskeder til controllerne.
Denne analyse er en del af serien “Analyser af cyberangreb”, hvor vi kigger på historiske hændelser for at lære af fortidens fejl.
Kilder
- Dragos Intelligence Report: TRISIS Malware - Dragos’ dybdegående analyse af TRISIS malwaren og XENOTIME-trusselgruppen, der stod bag angrebet på Saudi-Arabien.
- Mandiant: TRITON Actor TTPs Profile - FireEye/Mandiant’s tekniske profilering af angriberne, herunder attributionen til en russisk statsinstitution (CNIIHM).
- CISA ICS Advisory (ICSA-18-240-01) - Officiel ICS-CERT advarsel specifikt om TRITON/TRISIS malwaren og anbefalede modforanstaltninger.
- Schneider Electric Security Advisory: Triconex TRITON - Leverandørens officielle svar med mitigering for de berørte Triconex Safety Instrumented Systems.
> Quiz: Test din viden
1. Hvad er TRITON/Trisis designet til at angribe?
2. Hvad er TriStation?
3. Hvilken kritisk menneskelig fejl tillod fjernprogrammering af SIS-enhederne?
4. Hvad var historisk unikt ved TRITON sammenlignet med tidligere malware?