Não é recente o relato de ataques de hackers a infraestruturas críticas, sendo conhecidas algumas situações de sucesso, como por exemplo a hospitais ou a empresas fornecedoras de energia. Ainda se lembram do Stuxnet? Os objetivos desta nova ameaça são idênticos mas mais ambiciosos e destrutivos.
Este novo relato, onde não foi revelada informação da vítima, mostrou que esta teve um resultado e consequências bem mais elevadas. As informações referem que é uma estrutura crítica e sensível nos Estados Unidos, provavelmente ligada à indústria da energia.
A porta de entrada deste ataque foi uma estação de trabalho da empresa, onde era executado o software Triconex, dedicado à tecnologia de segurança industrial e criado pela Schneider Electric. Após o conhecimento do ataque, foi enviado um alerta com recomendações de segurança para as entidades que usam o Triconex.
Malware (industrial) Triton
Para conseguir as suas intenções, os hackers usaram um malware ao qual foi dado o nome de Triton, que terá sido descoberto apenas após uma falha, que terá levado ao encerramento da produção dessa estrutura. Este malware é na prática uma framework que foi desenvolvida para interagir com os controladores Triconex Safety Instrumented System (SIS), responsáveis pelos processos industriais. Ao tentar reescrever um controlador de segurança (os controladores SIS), foram apresentados valores incorretos, o que levou a que o sistema se desligasse por proteção de segurança.
Como se pode ver pelo esquema seguinte, os hackers conseguiram furar os mecanismos de segurança e aceder aos controladores SIS. A zona denominada de Distributed Control System (DCS), além de permitir a interação dos sensores e atuadores com os controladores SIS, permite também o acesso remoto, para monitorização e controlo dos processos industriais. Para o acesso remoto, por norma são usadas as Workstations dos engenheiros, que se encontram na zona IT (a zona da rede interna e que não está exposta diretamente ao exterior)… e foi a partir de uma máquina que foi desencadeado o ataque.
Componentes do ataque
Como referido, o malware TRITON foi instalado numa máquina de um engenheiro que tinha como sistema operativo o Windows. O malware foi assim batizado para ser confundido com a app legítima que se chama Triconex Trilog. Esta aplicação é usada para avaliar logs e faz parte do conjunto de ferramentas da TriStation. O malware consiste num script python, transformado num executável que faz uso da stack de comunicações, mais propriamente do protocolo TriStation, que é usado para a configuração dos controladores SIS. Dentro do .exe (trilog.exe podemos encontrar um conjunto de bibliotecas, o TsHi, TsBase e TsLow).
O TsHi é uma interface de alto nível que permite aos atacantes operar o ataque usando a framework TRITON. O TsBase é um módulo que contém a função que invoca o TsHiT e que na prática “traduz” as intenções do atacante em funções que fazem uso do protocolo TriStation.
Por fim o TsLow é um módulo de comunicação adicional que faz uso do protocolo de transporte UDP. Este módulo permite consegue avaliar a conectividade até aos controladores SIS, podendo descobrir os IPs dos mesmos, recorrendo à função detect_ip. Para tal, recorre ao protocolo ICMP.
Junto com um executável, existem ainda dois ficheiros binários, inject.bin (ficheiro com malware) e imain.bin (com a lógica de controlo “manipulada”).
Este tipo de ataque tem uma intenção clara, como no passado foi visto noutros casos, além do acesso a informação estratégica é confidencial, poderá ser parte de um objetivo bem mais destrutivo. Há quem diga que estes primeiros ataques procuram testar as ferramentas e até perceber se estas conseguem aprender sozinhas.
PUB
PUB.
Loading …PUB.
Velocímetro Pplware
Teste a velocidade da sua Internet
