Malware TRITON causa danos físicos e permanentes ao comprometer sistemas industriais

Pesquisadores da FireEye, Inc. (NASDAQ: FEYE), empresa de segurança guiada por inteligência, identificaram no fim de 2017 o TRITON, também conhecido como Trisis, integrante de uma família de malware desenvolvida para comprometer os sistemas de controle industrial (ICS, sigla em inglês).

Tal descoberta fora possível após o registro de um ataque no qual o vírus desligou as máquinas de uma indústria, mas o sistema de segurança alertou os operadores de que havia uma falha, o que refletiu no insucesso da ação.

Por não haver uma clara definição para qual tipo de instalação industrial ou até mesmo em qual país surgiu o sofisticado malware, a equipe de práticas avançadas da Mandiant, consultoria em inteligência do grupo FireEye, propôs-se a realizar uma profunda investigação nas metodologias utilizadas após responder ao ataque.

Durante este período, descobriu-se que os equipamentos afetados são costumeiramente usados em instalações de petróleo e gás, assim como nas de energia nuclear ou em fábricas. Em linhas gerais, o TRITON foi projetado para alterar ou até mesmo desativar os produtos Triconex, conhecido como sistemas de segurança (SIS, em tradução livre), da mesma forma com os sistemas de controle distribuídos, os quais são comandados por operadores, responsáveis pelo monitoramento dos processos.

Por dentro da investigação – Os autores de ameaças por trás da estrutura de malware TRITON utilizaram-se da engenharia reversa – profundo estudo do funcionamento de um dispositivo, com a análise de sua estrutura, função e operação – do controlador Triconex. A partir de um software legítimo, aprenderam seu protocolo e desenvolveram o malware adaptado a esta linguagem.

O conhecimento do ator de ameaças TRITON e o esforço de engenharia reversa fornecem uma melhor compreensão do protocolo, de onde se começa a formar uma imagem mais completa e documentar da funcionalidade básica do TriStation. Importante frisar que o TriStation é um protocolo de rede proprietário e não há documentação pública que detalhe sua estrutura ou o modo como criar aplicativos de software que o utilizam.

Neste aspecto, é fundamental avaliar a mensagem do comando de execução, a qual ilustra a estrutura geral do protocolo. Com ele, os autores das ameaças estão aptos a acessar várias versões do software e descobrir as vulnerabilidades.

A teoria inicial dos pesquisadores da Mandiant era de que os autores compraram um controlador e um software Triconex para seus próprios testes e engenharia reversa. A segunda hipótese era a versão demo do software, a qual permite engenharia reversa o suficiente da TriStation para o framework. Outro viés seria o roubo de bibliotecas TriStation Python de empresas, subsidiárias ou integradores de sistemas ICS, os quais foram utilizados no desenvolvimento da base do TriStation e, consequentemente, do malware TRITON.

Entretanto, eles poderiam ter emprestado o software TriStation, o hardware Triconex e os conectores Python de propriedade do governo, ou seja, utilizando-os de modo legítimo. E foi exatamente o que os autores fizeram: reverteram o código legítimo para reforçar o desenvolvimento da estrutura do TRITON.
Desta forma, atuam de maneira mais inteligente e não mais difícil. Mas depois da engenharia reversa software legítimo e implementação dos conceitos básicos do TriStation, os autores ainda tinham uma compreensão incompleta do protocolo, o que possibilitou a descoberta de sua atuação.

Conclusão – Através do trabalho de investigação dos pesquisadores da Mandiant, classificou-se como principal motivação o dano físico devido ao direcionamento de segurança da Triconex Controladores do sistema (SIS).

Descobriu-se ainda que o processo de desenvolvimento foi mais fácil do que se pensava no início da análise. Em vista disso, espera-se que outros agentes de ameaças adotem abordagens semelhantes no desenvolvimento de ferramentas para explorar os sistemas ICS. Principalmente quando os invasores migram do espaço da TI para o OT (tecnologia operacional, em tradução livre).

A recomendação é, além de seguir monitorando o comportamento e ações destes grupos, realizar discussões públicas acerca das tecnologias de ICS e integrar os fabricantes com as empresas, para que compartilhem boas práticas e evitem as intrusões em seus ambientes, afetando as tecnologias dominantes de segurança industrial.

O relatório completo com os resultados da investigação está disponível em: https://www.fireeye.com/blog/threat-research/2018/06/totally-tubular-treatise-on-triton-and-tristation.html.