FireEye ha rilevato un nuovo attacco a sistemi industriali e a infrastrutture critiche, la minaccia è stata elaborata dall’autore del malware Triton. Nel dicembre 2017, FireEye ha pubblicato una prima analisi sull’attacco di Triton, in cui gli attaccanti hanno utilizzato un framework di attacco per manipolare dei sistemi di sicurezza industriale, causando l’arresto dei processi produttivi. Nelle successive ricerche, FireEye ha identificato come gli aggressori potrebbero aver avuto accesso ai componenti critici necessari per realizzare il framework di attacco Triton. Nelle più recenti analisi, invece, FireEye ha dimostrato che dietro agli attacchi Triton vi è un istituto di ricerca tecnica con sede a Mosca di proprietà del governo russo.
Gabriele Zanoni, Senior Systems Engineer Le specificità dell’intrusione del malware Triton sono ancora avvolte nel mistero. Del framework e dell’impatto sul sito di destinazione se ne è parlato molto, ma sono state condivise poche o addirittura nessuna informazione sulle tattiche, le tecniche e le procedure (TTP) relative al ciclo di vita dell’intrusione. Non si hanno, inoltre, dati su che aiutino a comprendere come l’attacco sia potuto arrivare così in profondità, per poi colpire i processi industriali.
Il team di incident responder di Mandiant, società di FireEye, ha scoperto recentemente ulteriori attività di attacco in un’altra infrastruttura critica, sempre da parte di chi ha progettato Triton identificando, inoltre, altri tool sviluppati ad-hoc. FireEye, a seguito di questa rilevazione, mette in allarme e incoraggia i proprietari di sistemi di controllo industriale (ICS) ad usare gli Indicatori di Compromissione e ad analizzare le Tecniche Tattiche e Procedure (TTP) di attacco di TRITON per aumentare le difese e verificare possibili incidenti in corso nelle proprie reti.
La tecnologia SmartVision di FireEye permette di identificare i Movimenti Laterali effettuati dagli attaccanti, monitorando tutto il traffico est-ovest sia nelle reti IT sia nelle reti OT, aiutando a ridurre il rischio che un attacco raggiunga i sistemi critici come quelli ICS.
Questo è particolarmente importante per le intrusioni sofisticate legate agli ICS, in quanto gli attaccanti si spostano tipicamente dalle reti IT aziendali a quelle OT, attraverso sistemi che sono accessibili a entrambi gli ambienti, bypassando quindi le difese perimetrali.
Sulla base delle analisi dei tool di attacco sviluppati ad-hoc, è stato possibile dedurre che il gruppo che ha sviluppato Triton è operativo sin dal 2014. Antecedentemente a questa data, FireEye non aveva mai avuto modo di rilevare nessuno di questi tool utilizzati per Triton, nonostante molti di questi risalgano a diversi anni prima rispetto alla prima compromissione avvenuta.
C’è un focus particolare da parte della community della sicurezza riguardo ai malware relativi ai sistemi ICS, in quanto sono un vettore di attacco nuovo e ci sono ancora pochi casi. È importante che ci sia questa attenzione per diverse ragioni, per chi deve difendere dei sistemi informatici o per chi deve rispondere agli incidenti suggeriamo di prestare attenzione ai sistemi denominati di “conduit” (i passaggi tra le diverse zone delle reti) per poter identificare e bloccare gli attacchi verso i sistemi ICS.
