
Er is geen recente melding van hackaanvallen op vitale infrastructuren en er zijn wel succesverhalen bekend, zoals ziekenhuizen of bedrijven die energie leveren. Volgens de laatste rapporten zijn hackers er onlangs echter in geslaagd een aantal kritieke infrastructuur met succes af te sluiten.
laten zien
Hackers hebben met succes een aantal ‘kritieke infrastructuur’ afgesloten
Er is geen recente melding van hackaanvallen op vitale infrastructuren en er zijn wel succesverhalen bekend, zoals ziekenhuizen of bedrijven die energie leveren. Herinner je je Stuxnet nog? De doelstellingen van deze nieuwe dreiging zijn identiek, maar ambitieuzer en destructiever.
Dit nieuwe rapport, waarin de informatie van het slachtoffer niet werd bekendgemaakt, toonde aan dat het een veel hogere uitkomst en gevolgen had. Volgens de informatie is het een kritieke en gevoelige structuur in de Verenigde Staten, waarschijnlijk verbonden met de energie-industrie.
De toegangspoort tot deze aanval was een bedrijfswerkstation, waar de Triconex-software werd uitgevoerd, gewijd aan industriƫle veiligheidstechnologie en gemaakt door Schneider Electric. Na kennisname van de aanval werd een waarschuwing verzonden met veiligheidsaanbevelingen voor de entiteiten die Triconex gebruiken.
Triton industriƫle malware
Om hun bedoelingen te achterhalen, gebruikten de hackers een malware genaamd Triton, die pas werd ontdekt na een crash, wat leidde tot de stopzetting van de productie van die structuur. Deze malware is in de praktijk een raamwerk dat is ontwikkeld om te communiceren met Triconex Safety Instrumented System (SIS)-controllers die verantwoordelijk zijn voor industriƫle processen. Toen het probeerde een beveiligingscontroller (SIS-controllers) te herschrijven, werden onjuiste waarden weergegeven, waardoor het systeem werd uitgeschakeld vanwege beveiligingsbescherming.
Zoals je in het volgende diagram kunt zien, hebben hackers beveiligingsmechanismen kunnen hacken en toegang krijgen tot SIS-controllers. Het gebied dat Distributed Control System (DCS) wordt genoemd, maakt niet alleen de interactie van sensoren en actuatoren met SIS-controllers mogelijk, maar maakt ook toegang op afstand mogelijk voor het bewaken en besturen van industriƫle processen. Voor toegang op afstand worden meestal de werkstations van de technici gebruikt, die zich in de IT-zone bevinden (de interne netwerkzone en niet direct naar buiten gericht), en deze waren afkomstig van een machine die de aanval heeft geactiveerd.

Onderdelen van de aanval
Zoals gezegd was de TRITON-malware geĆÆnstalleerd op een machine van een ingenieur die Windows als besturingssysteem had. De malware werd dus gedoopt om te worden verward met de legitieme app die Triconex Trilog heet. Deze applicatie wordt gebruikt om logs te evalueren en maakt deel uit van de TriStation-toolkit. De malware bestaat uit een pythonscript, omgezet in een uitvoerbaar bestand dat gebruik maakt van de communicatiestack, in plaats van het TriStation-protocol, dat wordt gebruikt voor het configureren van SIS-controllers. Binnen de .exe (trilog.exe kunnen we een reeks bibliotheken vinden, TsHi, TsBase en TsLow).
TsHi is een interface op hoog niveau waarmee aanvallers de aanval kunnen uitvoeren met behulp van het TRITON-framework. TsBase is een module die de functie bevat die TsHiT aanroept en die in de praktijk de bedoelingen van de aanvaller ādecodeertā in functies die gebruik maken van het TriStation protocol.
Ten slotte is TsLow een extra communicatiemodule die gebruik maakt van het UDP-transportprotocol. Met deze module kunt u de connectiviteit met de SIS-controllers evalueren en de IP’s ervan ontdekken met behulp van de functie detect_ip. Hiervoor gebruikt het het ICMP-protocol.
Naast een uitvoerbaar bestand zijn er nog twee binaire bestanden, inject.bin (bestand met malware) en imain.bin (met de “gemanipuleerde” besturingslogica).

Dit type aanval heeft een duidelijke bedoeling, zoals in het verleden in andere gevallen is gezien, en toegang tot strategische informatie die vertrouwelijk is, kan deel uitmaken van een veel destructiever doel. Er zijn mensen die zeggen dat deze eerste aanvallen de tools proberen te testen en zelfs kijken of ze het zelf kunnen leren.
Dus, wat vind je hiervan? Deel eenvoudig uw mening en gedachten in het commentaargedeelte hieronder.