Malware schakelt industrieel veiligheidssysteem uit

[Captain Kirk]

Onderzoekers van securitybedrijf FireEye hebben malware ontdekt die ontwikkeld is om een industrieel veiligheidssysteem te manipuleren en dit ook bij een fabriek heeft gedaan. Triton, zoals de malware wordt genoemd, kan Triconex Safety Instrumented System (SIS) controllers aanpassen.

Een SIS is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

Bij een aanval tegen een niet nader genoemde fabriek wist de aanvaller toegang te krijgen tot een SIS-werkstation dat op Windows draait. Vervolgens werd de Triton-malware ingeschakeld om de SIS-controllers te herprogrammeren. Daardoor raakten sommige controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Volgens FireEye was het waarschijnlijk niet de bedoeling van de aanvaller om het systeem uit te schakelen.

De aanvaller had namelijk al toegang tot het DCS en had zo de mogelijkheid om het proces te manipuleren of de fabriek uit te schakelen. In plaats daarvan kozen ze ervoor om het SIS-systeem te compromitteren. Zodra er toegang tot het SIS-systeem was verkregen had de malware een commando kunnen geven om het proces uit te schakelen of opzettelijk defecte code naar de SIS-controller kunnen uploaden, waardoor die defect raakte.

In plaats daarvan probeerde de aanvaller gedurende een periode om binnen de gehackte omgeving functionele controllerlogica voor de SIS-controller te ontwikkelen en installeren. De pogingen zouden door een fout in de gebruikte aanvalsscripts zijn mislukt. Toch bleef de aanvaller volhouden. Dit suggereert volgens FireEye dat de aanvaller een ander doel had dan het uitschakelen van het proces.

Wat verder opvalt is dat de malware kort nadat er toegang tot het SIS-systeem was verkregen werd ingezet. Volgens het securitybedrijf wijst dit erop dat de malware al was gemaakt en getest. Hiervoor hadden de aanvallers toegang moeten hebben tot hardware en software die niet eenvoudig beschikbaar is. Daarnaast communiceert de malware via het gesloten TriStation-protocol waarvan geen documentatie openbaar is. Dit zou erop duiden dat de aanvaller het protocol zelf heeft gereverse engineered. Wie er achter de aanval zit en hoe de fabriek besmet raakte laat FireEye niet weten.

 

 

bron: security.nl