Тритон – първият кибер-вирус, целящ масова смърт
Джулиан Гутманис, умел експерт по първа помощ по компютърна сигурност, е викан доста пъти под дърво и камък, с цел да оказва помощ на фирмите да се оправят с последствията от хакерски атаки. Но когато австралийският съветник бива извикан в нефтохимически цех в Саудитска Арабия през лятото на 2017 година, това, което открива, го смразява…Хакери са внедрили злоумишлен програмен продукт, който им разрешава да завладяват контролно-измервателните системи на централата. Тези физически контролери и обвързваният с тях програмен продукт са „ последната линия “ на отбрана против животозастрашаващи бедствия.Предполага се, че тези системи се задействат, в случай че открият рискови за живота условия. Те би трябвало да връщат процесите до безвредни равнища или да ги приключват изцяло, като задействат спирателни кранове, вентили и механизми за освобождение на налягането.Зловредният код обаче прави допустимо отдалеченото преодоляване на тези системи. Ако хакерите ги блокират, изключително в случай че по-късно вкарат и различен злоумишлен програмен продукт за разтрошаване на оборудването на централата, следствията биха могли да бъдат пагубни.Игра на нервиЗа благополучие, един малък минус в кода даде на хакерите разкрива пъкления им проект, преди да съумеят да нанесат вреди. Бъгът провокира реакция на системата за сигурност през юни 2017 година, което води до прекъсване на завода. Малко по-късно обстановката се повтаря.Първото спиране неправилно бива приписано на машинален проблем. След второто обаче притежателите на завода извикват следователи. Детективите откриват зловредния програмен продукт, който от този момент е наименуван „ Тритон “, защото нападна контролер за сигурност на име „ Triconex “.
„ Тритон “ би могъл да докара до отделянето на отровен газ – водороден сулфид или до причиняване на детонации, излагайки на риск живота на доста хора както в завода, по този начин и в покрайнината.Гутманис си спомня, че оправянето със зловредния програмен продукт в нефтохимическия цех, рестартиран след втория случай, е било игра на нерви. „ Знаехме, че не можем да разчитаме на системите за сигурност “, споделя той, представен от MIT TechnolgyReview. „ Беше допустимо най-лошата обстановка “.РубиконС тази офанзива към завода хакерите прекрачват отблъскващ Рубикон. За първи път в света на киберсигурността се следи съзнателно основаване на код, който да излага на риск човешки живот. При това в огромен мащаб. Инструментални системи за сигурност има освен в нефтохимическите фабрики – това е „ последната линия на отбрана “ във всичко, от транспортни системи до уреди за филтриране на вода и нуклеарни електроцентрали.Откриването на „ Тритон “ повдига въпроси за това по какъв начин хакерите са съумели да влязат в тези сериозни системи. Освен това инзидентът се случва в миг, когато предприятия от всички промишлености вграждат модули за съгласуваност във всички типове съоръжение – събитие, известно като индустриалния „ интернет на нещата “.Специалистите по сигурността нямат подозрение, че тези, които стоят зад „ Тритон “, в този момент търсят нови жертви. Dragos – компания, профилирана в индустриалната киберсигурност, където Гутманис работи в този момент – споделя, че „ има доказателства от последната година, че хакерската група, която е построила зловредния програмен продукт и го е вкарала в саудитския цех, употребява някои от същите цифрови похвати, с цел да изследва цели тук-там отвън Близкия изток “.Освен това групата основава нови редове код, подготвен да компрометира по-широк набор от системи от принадлежности за сигурност.Търпеливи хакериНовината за съществуването на „ Тритон “ бе разкрита през декември 2017 година, макар че самоличността на притежателя на завода се пази в загадка. Оттогава експерти по киберсигурност от целия свят работят по разбора на зловредния програмен продукт. Те желаят да открият кой стои зад него. Проучванията рисуват тревожна картина на комплицирано кибернетичното оръжие, построено и разгърнато от „ група търпеливи хакери “, чиято еднаквост към момента не е открита.Изглежда, че хакерите са били вътре в корпоративната осведомителна мрежа на нефтохимическата компания още от 2014 година Оттам те са намерили метод да влязат в личната мрежа на централата, най-вероятно през пробив в зле конфигурирана защитна стена, която би трябвало да стопира неоторизиран достъп. След това са влезнали в инженерна работна станция, евентуално употребявайки незатворена дупка в кода на Windows или прихващайки идентификационните данни на служителя.Тъй като работната станция комуникира със системите за сигурност на завода, хакерите са съумели да научат модела на хардуерните контролери на системите за сигурност, както и версиите на техния фърмуер – софтуера, който е вграден в паметта на устройството и ръководи връзката му с други устройства.Вероятно по-късно хакерите са си купили подобен контролер и са го употребявали за тестване на създадения от тях злотворен програмен продукт. Това е разрешило да се имитира протоколът, който инженерната работна станция употребява за връзка със системите за сигурност. Хакерите са разкрили някоя „ zero-day ” накърнимост във фърмуера на модела Triconex и през нея са инжектирали нездравословен код в паметта на системите за сигурност, осигурявайки достъп до контролерите, когато пожелаят.По този метод натрапниците са се оказали способни да наредят на системите за сигурност да се деактивират – и по-късно да употребяват различен злотворен програмен продукт, с цел да основат рискова обстановка в завода.Какво можеше да последва? Една повреда в химически цех може да убие хиляди хора, работещи в нея, стотици хиляди в района – и да съсипе здравето на милиони.Повече червени лампичкиТова надалеч не е единственият случай на кибер-атака към индустриални предприятия и то от сериозните индустриални браншове. Ето още няколко образеца:2010 – Stuxnet – компютърен червей, който се копира от компютър на компютър без човешка интервенция. Най-вероятно вкаран на USB флашка, той е ориентиран към програмируеми логичен контролери, които ръководят автоматизираните процеси и предизвикват унищожаването на центрофугите, употребявани при обогатяването на уран в оборудване в Иран.2013 – Havex – планиран да нахлува в системи, контролиращи индустриалното съоръжение, евентуално по този начин, че хакерите да могат да разработят способи за вграждане на атакуващ код в оборудванията. Това е троянски кон, който разрешава на хакерите да поемат контрола над компютрите от разстояние. Насочен е към хиляди европейски, американски и канадски предприятия, и изключително тези в енергийната и нефтохимическата индустрия.2015 – BlackEnergy – различен троянец, циркулирал известно време в света на кибер-заплахите, преди да бъде употребен през декември 2015 година против няколко украински енергийни компании. Това докара до прекъсване на тока. Зловредният програмен продукт беше употребен за събиране на разследващи данни от системите на енергийните компании и за обири на регистрационни данни от чиновници.2016 – CrashOverride – прочут още като Industroyer, той е създаден за нахлуване против част от електрическата мрежа на Украйна през декември 2016 година Зловредният програмен продукт копира протоколите, които другите детайли на мрежата употребяват за връзка между тях. Това му разрешава да прави неща, като да вземем за пример да покаже, че даден комутатор е затворен, когато той в реалност е отворен. Кодът бе употребен за офанзива към електрическа трансмисионна подстанция в Киев, което за малко блокира от града.След този лист даже и най-песимистично настроените експерти по кибер-сигурност не смееха да плануват идването на „ Тритон “. „ Атакуването на системите за сигурност изглеждаше невероятно от морална позиция и в действителност мъчно чисто механически “, изяснява Джо Слоик, някогашен чиновник по осведомителна кибервойна в Съединени американски щати, който в този момент също работи в Dragos.Други специалисти са шокирани при типа на вести за кода-убиец. „ Дори при Stuxnet и различен злотворен програмен продукт, в никакъв случай не е имало такова явно, непосредствено желание за пострадване на хора “, споделя Брадфорд Хехрат, съветник в Accenture.Естествено, казусът разпали и политическата война сред континентите, където острото опълчване на няколко основни играча набира скорост през последните години. Първоначално „ Тритон “ се смята за работа на Иран, поради враждата със Саудитска Арабия.По-късно обаче, в отчет, оповестен предишния октомври, FireEye – компания за киберсигурност, извикана в самото начало на следствието на „ Тритон “ – приказва за друга диря. В един от откритите файлове са открити текстове на кирилица. Съединени американски щати упреква Русия за офанзивата. Специалистите по киберсигурност пък са безапелационни, че няма ясни доказателства, че Москва стои зад „ Тритон “.Трудно за атакуванеГутманис споделя, че офанзивата е била изключително мъчно упражнение за самите хакери. „ Бил съм в доста фабрики, само че малко от тях са толкоз зрели [в метода си към киберсигурността], колкото тази организация [в Саудитска Арабия], “ изяснява той.Видимо, „ Тритон “ демонстрира, че има хакери, склонни да преследват комплицирани и труднодостъпни цели в промишлените предприятия. Инструменталните системи за сигурност са мощно приспособени, с цел да защищават разнообразни типове процеси, тъй че основаването на злотворен програмен продукт, който да ги управлява, изисква доста време и усърдие. Контролерът Triconex на Schneider Electric, да вземем за пример, се предлага в десетки разнообразни модели и всеки от тях може да се зарежда с разнообразни версии на фърмуера.Фактът, че хакерите са минали толкоз дълъг и тежък път, разработвайки „ Тритон “, е сигнална лампа за всички – държавни управления, частни компании и фирми-производители – за пробуждане и осъзнаване на новата действителност.Масло в огъня налива фактът, че през последните години компании от всички браншове бързат да прибавят датчици и модули за уеб-свързаност за всички типове промишлено съоръжение. Трупаните данни се употребяват за всичко – от предиктивна поддръжка до тънко контролиране на индустриалните процеси.Модерно е да се разчита на дистанционно управление на процесите посредством устройства като смарт телефони и таблети. Всичко това значи, че опциите за хакерите стават все по-големи. TechNews.bg
Hidden Truth
„ Тритон “ би могъл да докара до отделянето на отровен газ – водороден сулфид или до причиняване на детонации, излагайки на риск живота на доста хора както в завода, по този начин и в покрайнината.Гутманис си спомня, че оправянето със зловредния програмен продукт в нефтохимическия цех, рестартиран след втория случай, е било игра на нерви. „ Знаехме, че не можем да разчитаме на системите за сигурност “, споделя той, представен от MIT TechnolgyReview. „ Беше допустимо най-лошата обстановка “.РубиконС тази офанзива към завода хакерите прекрачват отблъскващ Рубикон. За първи път в света на киберсигурността се следи съзнателно основаване на код, който да излага на риск човешки живот. При това в огромен мащаб. Инструментални системи за сигурност има освен в нефтохимическите фабрики – това е „ последната линия на отбрана “ във всичко, от транспортни системи до уреди за филтриране на вода и нуклеарни електроцентрали.Откриването на „ Тритон “ повдига въпроси за това по какъв начин хакерите са съумели да влязат в тези сериозни системи. Освен това инзидентът се случва в миг, когато предприятия от всички промишлености вграждат модули за съгласуваност във всички типове съоръжение – събитие, известно като индустриалния „ интернет на нещата “.Специалистите по сигурността нямат подозрение, че тези, които стоят зад „ Тритон “, в този момент търсят нови жертви. Dragos – компания, профилирана в индустриалната киберсигурност, където Гутманис работи в този момент – споделя, че „ има доказателства от последната година, че хакерската група, която е построила зловредния програмен продукт и го е вкарала в саудитския цех, употребява някои от същите цифрови похвати, с цел да изследва цели тук-там отвън Близкия изток “.Освен това групата основава нови редове код, подготвен да компрометира по-широк набор от системи от принадлежности за сигурност.Търпеливи хакериНовината за съществуването на „ Тритон “ бе разкрита през декември 2017 година, макар че самоличността на притежателя на завода се пази в загадка. Оттогава експерти по киберсигурност от целия свят работят по разбора на зловредния програмен продукт. Те желаят да открият кой стои зад него. Проучванията рисуват тревожна картина на комплицирано кибернетичното оръжие, построено и разгърнато от „ група търпеливи хакери “, чиято еднаквост към момента не е открита.Изглежда, че хакерите са били вътре в корпоративната осведомителна мрежа на нефтохимическата компания още от 2014 година Оттам те са намерили метод да влязат в личната мрежа на централата, най-вероятно през пробив в зле конфигурирана защитна стена, която би трябвало да стопира неоторизиран достъп. След това са влезнали в инженерна работна станция, евентуално употребявайки незатворена дупка в кода на Windows или прихващайки идентификационните данни на служителя.Тъй като работната станция комуникира със системите за сигурност на завода, хакерите са съумели да научат модела на хардуерните контролери на системите за сигурност, както и версиите на техния фърмуер – софтуера, който е вграден в паметта на устройството и ръководи връзката му с други устройства.Вероятно по-късно хакерите са си купили подобен контролер и са го употребявали за тестване на създадения от тях злотворен програмен продукт. Това е разрешило да се имитира протоколът, който инженерната работна станция употребява за връзка със системите за сигурност. Хакерите са разкрили някоя „ zero-day ” накърнимост във фърмуера на модела Triconex и през нея са инжектирали нездравословен код в паметта на системите за сигурност, осигурявайки достъп до контролерите, когато пожелаят.По този метод натрапниците са се оказали способни да наредят на системите за сигурност да се деактивират – и по-късно да употребяват различен злотворен програмен продукт, с цел да основат рискова обстановка в завода.Какво можеше да последва? Една повреда в химически цех може да убие хиляди хора, работещи в нея, стотици хиляди в района – и да съсипе здравето на милиони.Повече червени лампичкиТова надалеч не е единственият случай на кибер-атака към индустриални предприятия и то от сериозните индустриални браншове. Ето още няколко образеца:2010 – Stuxnet – компютърен червей, който се копира от компютър на компютър без човешка интервенция. Най-вероятно вкаран на USB флашка, той е ориентиран към програмируеми логичен контролери, които ръководят автоматизираните процеси и предизвикват унищожаването на центрофугите, употребявани при обогатяването на уран в оборудване в Иран.2013 – Havex – планиран да нахлува в системи, контролиращи индустриалното съоръжение, евентуално по този начин, че хакерите да могат да разработят способи за вграждане на атакуващ код в оборудванията. Това е троянски кон, който разрешава на хакерите да поемат контрола над компютрите от разстояние. Насочен е към хиляди европейски, американски и канадски предприятия, и изключително тези в енергийната и нефтохимическата индустрия.2015 – BlackEnergy – различен троянец, циркулирал известно време в света на кибер-заплахите, преди да бъде употребен през декември 2015 година против няколко украински енергийни компании. Това докара до прекъсване на тока. Зловредният програмен продукт беше употребен за събиране на разследващи данни от системите на енергийните компании и за обири на регистрационни данни от чиновници.2016 – CrashOverride – прочут още като Industroyer, той е създаден за нахлуване против част от електрическата мрежа на Украйна през декември 2016 година Зловредният програмен продукт копира протоколите, които другите детайли на мрежата употребяват за връзка между тях. Това му разрешава да прави неща, като да вземем за пример да покаже, че даден комутатор е затворен, когато той в реалност е отворен. Кодът бе употребен за офанзива към електрическа трансмисионна подстанция в Киев, което за малко блокира от града.След този лист даже и най-песимистично настроените експерти по кибер-сигурност не смееха да плануват идването на „ Тритон “. „ Атакуването на системите за сигурност изглеждаше невероятно от морална позиция и в действителност мъчно чисто механически “, изяснява Джо Слоик, някогашен чиновник по осведомителна кибервойна в Съединени американски щати, който в този момент също работи в Dragos.Други специалисти са шокирани при типа на вести за кода-убиец. „ Дори при Stuxnet и различен злотворен програмен продукт, в никакъв случай не е имало такова явно, непосредствено желание за пострадване на хора “, споделя Брадфорд Хехрат, съветник в Accenture.Естествено, казусът разпали и политическата война сред континентите, където острото опълчване на няколко основни играча набира скорост през последните години. Първоначално „ Тритон “ се смята за работа на Иран, поради враждата със Саудитска Арабия.По-късно обаче, в отчет, оповестен предишния октомври, FireEye – компания за киберсигурност, извикана в самото начало на следствието на „ Тритон “ – приказва за друга диря. В един от откритите файлове са открити текстове на кирилица. Съединени американски щати упреква Русия за офанзивата. Специалистите по киберсигурност пък са безапелационни, че няма ясни доказателства, че Москва стои зад „ Тритон “.Трудно за атакуванеГутманис споделя, че офанзивата е била изключително мъчно упражнение за самите хакери. „ Бил съм в доста фабрики, само че малко от тях са толкоз зрели [в метода си към киберсигурността], колкото тази организация [в Саудитска Арабия], “ изяснява той.Видимо, „ Тритон “ демонстрира, че има хакери, склонни да преследват комплицирани и труднодостъпни цели в промишлените предприятия. Инструменталните системи за сигурност са мощно приспособени, с цел да защищават разнообразни типове процеси, тъй че основаването на злотворен програмен продукт, който да ги управлява, изисква доста време и усърдие. Контролерът Triconex на Schneider Electric, да вземем за пример, се предлага в десетки разнообразни модели и всеки от тях може да се зарежда с разнообразни версии на фърмуера.Фактът, че хакерите са минали толкоз дълъг и тежък път, разработвайки „ Тритон “, е сигнална лампа за всички – държавни управления, частни компании и фирми-производители – за пробуждане и осъзнаване на новата действителност.Масло в огъня налива фактът, че през последните години компании от всички браншове бързат да прибавят датчици и модули за уеб-свързаност за всички типове промишлено съоръжение. Трупаните данни се употребяват за всичко – от предиктивна поддръжка до тънко контролиране на индустриалните процеси.Модерно е да се разчита на дистанционно управление на процесите посредством устройства като смарт телефони и таблети. Всичко това значи, че опциите за хакерите стават все по-големи. TechNews.bg
Hidden Truth
Източник: hiddentruth.site
КОМЕНТАРИ