Triton, un peligroso malware para ICS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores de seguridad han descubierto otra pieza desagradable de malware diseñado específicamente para atacar los sistemas de control industrial (ICS) con el potencial de causar accidentes de salud y que amenazan la vida.

Triton, también conocido como Trisis, el malware ICS ha sido diseñado para apuntar a los controladores Triconex del Sistema Instrumentado de Seguridad (SIS) fabricados por Schneider Electric, un sistema de control autónomo que monitorea de forma independiente el rendimiento de los sistemas críticos y toma medidas inmediatas automáticamente, si es peligroso. estado es detectado.

Investigadores de seguridad publicaron un informe el jueves, sugiriendo que los atacantes patrocinados por el estado usaron el malware Triton para causar daño físico a una organización.

Ni el nombre de la organización objetivo ha sido revelado por los investigadores ni han vinculado el ataque a ningún grupo conocido apoyado por un Estado.

Según una investigación separada realizada por la firma de ciberseguridad de ICS, Dragos, que llama a este malware “TRISIS”, el ataque se lanzó contra una organización industrial en el Medio Oriente.

Triton aprovecha el protocolo patentado de TriStation, que es una herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS y no está documentada públicamente, lo que sugiere que los atacantes realizaron una ingeniería inversa al crear su malware.

El atacante obtuvo acceso remoto a una estación de trabajo de ingeniería SIS e implementó el marco de ataque TRITON para reprogramar los controladores SIS.

Los hackers implementaron Triton en una estación de trabajo de ingeniería SIS que ejecutaba el sistema operativo Windows enmascarando la aplicación Tricone Trilog legítima.

La versión actual del malware TRITON que los investigadores analizaron fue construida con muchas características, “incluyendo la capacidad de leer y escribir programas, leer y escribir funciones individuales y consultar el estado del controlador SIS”.

Durante el incidente, algunos controladores SIS entraron en un estado seguro fallido, que automáticamente cerró el proceso industrial y llevó al propietario del activo a iniciar una investigación.

Usando TRITON, un atacante normalmente puede reprogramar la lógica SIS para cerrar falsamente un proceso que es actual en un estado seguro. Aunque tal escenario no causaría ningún daño físico, las organizaciones pueden enfrentar pérdidas financieras debido al tiempo de inactividad del proceso.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS