[Из песочницы] Triton — самый убийственный вирус, и он распространяется
Привет, Хабр! Это любительский перевод сообщения «Triton is the world«s most murderous malware, and it«s spreading» by Martin Giles, опубликованного 5 марта 2019 г. Все иллюстрации создал Ariel Davis. Спойлер: в кибератаках в очередной раз обвиняют российских хакеров.
Вирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии. Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.
Как опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, что заставляет кровь стынуть в жилах.
Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф. Предполагается, что они ворвутся при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили.
Вредоносное ПО позволяет контролировать системы безопасности удаленно. Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Ответ системы безопасности в июне 2017 г. привел к остановке производства. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы.
Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Ищейки обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Он целился в модель контроллера Triconex, сделанную французской компанией Schneider Electric.
В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.
Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.
«Мы знали что мы не можем полагаться на целостность систем безопасности. Это было хуже некуда»
Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта, водоочистных сооружений, и заканчивая атомными энергетическими станциями.
Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.
Создатели Triton сейчас охотятся за новыми жертвами. Dragos, фирма, которая специализируется на индустриальной кибербезопасности, утверждает: за последний год появились свидетельства, доказывающие, что группа хакеров использует одни и те же методы цифровой разведки, для обнаружения целей за пределами ближнего востока, включая Северную Америку. Они создают новые варианты кода, позволяющие ставить под угрозу большее количество систем безопасности.
Боевая готовность
Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)
В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой. Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены.
Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. С тех пор, они обнаружили путь в собственную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.
С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.
Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Хакеры также обнаружили или «уязвимость нулевого дня» или прежде неизвестный баг во встроенной в Triconex программе. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.
Результаты могли быть устрашающими. Худшая промышленная авария также связана с утечкой ядовитых газов. В декабре 1984 года завод пестицидов Union Carbide в Бхопале (Индия) выпустил огромное облако токсичных паров, убив тысячи людей. Причинами были плохое обслуживание и человеческий фактор. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.
Ещё большая боевая готовность
Не так много случаев было, когда хакеры пытались нанести физический вред используя киберпространство. Например, Stuxnet — сотни центрифуг иранской АЭС вышли из-под контроля и самоуничтожились (2010). Другой пример, CrashOverride — удар российских хакеров по энергетической системе Украины (2016). (Наша боковая панель содержит резюме этих и некоторых других киберфизических атак.)*
Однако даже самые из пессимистичных кибер-Кассандр не видели такого вредоносного ПО как Triton.
«Просто казалось, что целиться в системы безопасности тяжело морально и действительно трудно технически», объясняет Джо Словик, бывший офицер ВМС США, ныне работающий в Dragos.
Другие эксперты тоже были шокированы, увидев новости о коде-убийце.
«Даже Stuxnet и другие вирусы никогда не имели такого вопиющего и однозначного намерения травмировать людей», говорит Бредфорд Хегрет, консультант в Accenture, специализирующийся на промышленной кибербезопасности.
Скорее всего не случайно, что вредоносное ПО дало о себе знать, когда хакеры из таких стран, как Россия, Иран и Северная Корея, усилили исследование секторов «критически важной инфраструктуры». Нефтегазовые компании, электроэнергетические компании, транспортные сети жизненно необходимы современной экономике.
В своей речи в прошлом году Ден Коатс, директор национальной разведки США, предупредил, что угроза кибератаки, парализующей жизненно важную инфраструктуру Америки, возрастает. Он провел параллели с зарегистрированным национальной разведкой США возрастанием киберактивности террористических групп перед 11 сентября 2001.
«Почти два десятилетия спустя, я здесь, чтобы сделать предупреждение, огни снова мигают красным. Сегодня цифровая инфраструктура, обслуживающая нашу страну, буквально находится под атакой», сказал Коатс.
Вначале казалось, что Triton — работа Ирана, который является заклятым врагом Саудовской Аравии. В отчете, опубликованном в прошлом октябре, FireEye, компанией, работающей в сфере информационной безопасности и участвующей в расследовании с самого начала, преступником была обвинена другая страна: Россия.
Хакеры тестировали элементы кода, с целью сделать его обнаружение непосильной задачей для антивируса. FireEye обнаружили забытый хакерами файл в корпоративной сети и получили возможность отследить другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.
Этот адрес был зарегистрирован в ЦНИИ Химии и Механики в Москве, государственной организации, фокусирующейся на ключевой инфраструктуре и промышленной безопасности. FireEye также сообщал о доказательстве, которое указывало на вовлеченность профессора этого института. И всё же, в отчете было отмечено, что FireEye не удалось найти доказательств, которые бы могли однозначно указать на причастие института к разработке Triton.
Исследователи все еще копаются в происхождении вируса, так что гораздо больше теорий может возникнуть о хакерах-авторах. Гатманис, тем временем, хочет помочь компаниям извлечь важные уроки из подобного опыта саудовского завода. На январской конференции по промышленной безопасности S4×19 он обрисовал некоторые из них. Например, жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.
Это может звучать как безнадежный случай, но Гатманис утверждает, что это не так.
«Я был на многих американских заводах, которые были в разы менее зрелыми [в своем подходе к кибербезопасности], чем эта организация», объясняет Гатманис.
Triton: a timeline
2014
Хакеры получают доступ к корпоративной сети завода в Саудовской Аравии
Июнь 2017
Первая остановка производства
Август 2017
Вторая остановка производства
Декабрь 2017
Публикуется информация о кибератаке
Октябрь 2018
FireEye сообщает о том, что скорее всего Triton был создан в российской лаборатории
Январь 2019
Появляется больше информации об инциденте
Другие эксперты замечают, что сейчас хакеры, работающие на правительство, готовы преследовать относительно неопределенные и сложные для взлома цели. Системы обеспечения безопасности разработаны специально для защиты разнообразных процессов, так что программирование вирусного ПО для них требует большого количества времени и кропотливой работы. Schneider Electric«s Triconex контроллер, например, имеет множество различных моделей, и каждая из них может иметь другую версию встроенного ПО.
Факт того, что хакеры пошли на такие большие затраты для разработки Triton, стал тревожным звонком для Шнайдера и других производителей систем безопасности, таких как Emerson (США) и Yokogawa (Япония). Шнайдер получил похвалу за то, что публично поделился подробностями об атаке хакеров, включая освещение ошибки нулевого дня, котора была исправлена с тех пор. Однако во время январской презентации Гатманис раскритиковал компанию за то, что она не могла взаимодействовать со следователями сразу после атаки.
Schneider заверили, что сотрудничали с компанией, оказавшейся под кибератакой, так же плотно, как и с Министерством внутренней безопасности США и иными агентствами, проводившими расследование. Было нанято больше людей, а также была усилена безопасность встроенного ПО и используемых протоколов.
Эндрю Клинг, руководитель Schneider, говорит, что важный урок, извлеченный из этого происшествия, состоит в том, что компаниям и производителям оборудования необходимо уделять больше внимания областям, компрометация которых может привести к катастрофе, даже если атака по ним кажется очень маловероятной. Например, редко используемые программные приложения и старые протоколы, которые управляют взаимодействиями приборов.
«Вы можете подумать, никого никогда не будет беспокоить нарушение [некоторого] неясного протокола, который даже не задокументирован, — говорит Клинг, —, но вы должны спросить, каковы будут последствия, если они это сделают?»
Иное будущее?
В течение последнего десятилетия компании добавляют связь с интернетом и сенсоры во все виды промышленного оборудования. Собираемые данные используются для всего; начиная с профилактики, которая означает использование машинного обучения для лучшего предсказания, когда же это профилактическое обслуживание понадобится, заканчивая тонкой отладкой процессов на производстве. Также большой шаг сделан для того, чтобы управлять процессами удаленно, используя смартфоны и планшеты.
Все это может сделать бизнес гораздо более эффективным и продуктивным, что объясняет, почему, согласно ARC Group, следящей за рынком, ожидается потратить около 42 млрд. долларов на промышленное интернет-оборудование; например, интеллектуальные датчики и автоматизированные системы управления. Но также очевидны риски: чем больше оборудования подключено, тем больше целей для атак получают хакеры.
Чтобы удержать злоумышленников, производства обычно полагаются на стратегию, известную как «глубокая защита»: создаётся несколько уровней безопасности, используются брандмауэры, чтобы отделить корпоративные сети от интернета. Задача других уровней — предотвратить доступ хакеров к сетям предприятия и к промышленным системам управления.
Методы защиты также включают в себя антивирусные инструменты для обнаружения вирусов и всё чаще ПО для искусственного интеллекта, который пытается распознать аномальное поведение внутри IT-систем.
Кроме того, в качестве окончательной защиты используются системы контроля безопасности и физические отказобезопасные системы. Наиболее важные системы обычно имеют несколько физических копий для защиты от отказа какого-либо элемента.
Эта стратегия доказала свою надёжность. Но рост числа хакеров, обладающих временем, деньгами и мотивацией, достаточными для того, чтобы нацелиться на критически важную инфраструктуру, а также увеличение роста соединенных с интернетом систем — всё это означает, что прошлое не может быть надежным руководством для будущего.
Россия, в частности, продемонстрировала желание использовать ПО в качестве оружия против физических целей на украине, которые она может использовать для тестирования кибероружия. Внедрение Triton в Саудовской Аравии показывает, показывает, что полные решимости хакеры готовы потратить годы на прощупывание и исследование способов пробраться через все эти уровни защиты.
К счастью, нападавшие на предприятие в Саудовской Аравии были перехвачены, а мы узнали гораздо больше о том, как они работали. Также это отрезвляющее напоминание о том, что хакеры, как и другие разработчики, тоже совершают ошибки. Что если непреднамеренно внесенный баг, вместо безопасного отключения систем, «обезвредит» системы безопасности это произойдет именно в тот момент, когда какая-либо ошибка или же человеческий фактор сделают жизненно важный процесс бесполезным?
Эксперты, работающие в таких местах, как Национальная лаборатория США в Айдахо, призывают компании пересмотреть все свои процессы в свете появления Triton и других киберфизических угроз, а также радикально сократить или же устранить вовсе цифровые пути, благодаря которым хакеры могут получить доступ к жизненно важным процессам.
Компаниям придется пойти на издержки, для того, чтобы сделать это, но Triton — это напоминание о том, что риски растут. Гатманис считает, что новые атаки с использованием смертоносных вирусов практически неизбежны.
«Хотя это и было впервые, — говорит Гатманис, — я был бы сильно удивлен, обернись это первым и последним случаем»
*Некоторые заслуживающие внимания киберугрозы
2010 — Stuxnet
Разработанный Американским агентством нац. безопасности вместе с израильской разведкой, вирус представлял собой компьютерного червя — код, который копирует себя с компьютера на компьютер без вмешательства человека. Вероятнее всего, что он, пронесенный контрабандой на USB-накопителе, предназначался для программируемых логических контроллеров, которые управляют автоматизированными процессами. Вирус спровоцировал разрушение центрифуг, использовавшихся для обогащения урана на заводе в Иране.
2013 — Havex
Havex был разработан для наблюдения за контролирующими оборудование системами. Предположительно, это позволяло хакерам выяснить как именно организовать атаку. Код — троян удаленного доступа (RAT), позволяющий хакерам управлять компьютерами удаленно. Вирус предназначался для тысяч американских, европейских и канадских предприятий, особенно в энергетической и нефтехимической областях.
2015 — BlackEnergy
BlackEnergy, другой троян, некоторое время «вращался в криминальном мире», но затем был адаптирован российскими хакерами для запуска атаки по нескольким украинским энергокомпаниям. В декабре 2015 года он помог спровоцировать отключения электроэнергии. Вирус использовали для сбора информации о системах энергетических компаний и кражи учетных данных сотрудников.
2016 — CrashOverride
Также известен как Industroyer. Этот вирус тоже был разработан российским кибервоинами, которые использовали его для организации атаки по части украинской электросети. Вирус копировал протоколы («языки связи»), которые различные элементы энергосистемы использовали для взаимодействия друг с другом. Это позволяет показать, что предохранитель замкнут, в то время как на самом деле он разомкнут. Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия.