اختلال عملیاتی در زیرساخت های حیاتی با بدافزار TRITON
به گزارش کارگروه امنیت سایبربان؛ بهتازگی در بررسیهای کارشناسان بدافزاری شناساییشده است که با قرار گرفتن در بستر زیرساختهای حیاتی فعالیت مخرب خود را اجرا میکند. این در حالی است که سامانههای مورد هدف دارای سامانه کنترل هدفمند هستند که با استفاده از یک سری قابلیتها قادر به متوقف کردن فرایند صنعتی بهصورت اورژانسی خواهد بود. در این میان بررسیها نشان میدهد بدافزار TRITON فعالیت خود را با ایجاد اختلال در سیستم برقرارکننده ارتباط Triconex پیش میبرد.
بررسیها نشان میدهد که بدافزار نامبرده بهعنوان یکی از تعداد معدود نرمافزارهای مخرب فعال در زیرساختهای صنعتی شناختهشده است. این در حالی است که پس از فعالیت بدافزار استاکسنت در سال 2010 و تأثیر روی زیرساختهای صنعتی ایران معتقدیم که بدافزار تریتون فعالیت خود را بر مبنای استاکسنت اجرا کرده و زیرساختهای موردنظر را تحت تأثیر قرار میدهد.
ماژول اصلی | ماژول اصلی | بدافزار |
Main executable leveraging libraries.zip | trilog.exe | TROITON |
Custom communication library for interaction with Triconex controllers. | library.zip | TROITON |
خلاصه فعالیت بدافزار
بررسیهای انجامشده نشان میدهد مهاجم با استفاده از دسترسی راه دور به یک ایستگاه کاری مهندسی SIS دسترسی گرفته و فعالیت مخرب خود را در چارچوب حمله بدافزار TRITON اجرا کرده که باعث ایجاد اختلال در سامانههای موردنظر شده است و بهطور خودکار روند فعالیت صنعتی را با خاموش کردن مواجه میکند. تحقیقات صورت گرفته نشان میدهد سیستم موردنظر برای مقابله با ورود بدافزار پس از تشخیص بدافزار بهصورت خودکار سامانه را خاموش میکند.
بررسیهای صورت گرفته نشان میدهد بسیاری از مهاجمان فعالیت مخرب خود را جهت دستیابی به اطلاعات و جزییات زیر انجام میدهند.
• بدافزار نامبرده فعالیت خود را در قالب تغییر حافظه کنترلکنندههای SIS مورداستفاده قرار میگیرد.
• شکستهای ایجادشده در طول مدت فعالیت بدافزار
• شرایط فعلی سامانه و زیرساخت بهطورمعمول باعث ایجاد اختلال در سامانه خواهد شد.
دسترسی
در حال حاضر کارشناسان امنیتی فایر آی در بررسیهای خود موفق به شناسایی مهاجمان اصلی این بدافزار نشدهاند. لذا این در حالی است که بدافزار تریتون قاعدتاً به پشتوانه یک کشور فعالیتهای خود را پیش برده این فقط در حالی است که کارشناسان بر این باورند که تمرکز بدافزار روی زیرساختهای بحرانی و منابع پولی کشورهای حوزه خاورمیانه است و این خود نشاندهنده پشتوانه ملی داشتن بدافزار را نشان میدهد.
هدف قرار دادن سامانه SIS نشاندهنده این است که مهاجم ایجاد اختلال با یک حمله همراه با تأثیرات فیزیکی جبرانناپذیری را دارد. این شکل از فعالیت مخرب نشاندهنده این است که گروههای سایبری اینگونه فعالیت نمیکنند.
مهاجم پس از دسترسی به سیستم SIS بدافزار TRITON را در سامانه مستقر کرده و این اقدام نشاندهنده این است که مهاجم و سازنده این بدافزار از محیط آزمایشگاهی برخوردار بوده که با استفاده از ابزار و تجهیزات موجود در آزمایشگاه فعالیت خود را اجرا کرده است. این در حالی است که بدافزار مذکور برای برقراری ارتباط با استفاده از پروتکل اختصاصی TriStation طراحیشده است که پروتکل نامبرده بهطور عمومی تائید نشده است که این خود نشاندهنده این است که سازنده پروتکل ارتباطی خود را مهندسی معکوس کرده است.
هدف قرار دادن زیرساختهای حساس با مضمون ایجاد اختلال و تخریب یا نابودی سیستم موردنظر ازجمله فعالیتهای کشورهایی نظیر چین، روسیه، ایران، کره شمالی و آمریکا است که سازگاری با این نحوه فعالیت را دارد.
پسزمینه فعالیت بدافزار و سیستم ایمنسازی
سیستم کنترل فرآیند صنعتی و سیستمهای اتوماسیون صنعتی به انواع مختلفی از سیستمهای کنترل و عملکرد ایمنی متکی هستند. این سیستمها و توابع اغلب بهعنوان سیستمهای کنترل صنعتی (ICS) یا فناوری عملیاتی (OT) نامیده میشوند.
یک سیستم کنترل توزیع (DCS)، اپراتورهای انسانی را قادر میسازد تا از یک فرایند صنعتی نظارت و کنترل دقیق داشته باشند. اینیک سیستم کنترل کامپیوتری است که شامل کامپیوترها، برنامههای کاربردی و کنترلکنندهها است. یک ایستگاه کاری مهندسی، رایانهای است که برای تنظیم، نگهداری و تشخیص برنامههای کاربردی سیستم کنترل و دیگر تجهیزات سیستم کنترل استفاده میشود.
SIS یک سیستم کنترل مستقیم فرایند است که بهطور مستقل فرایندهای موردنظر را کنترل میکند. این در حالی است که در صورت تغییر در خروجی فرایندهای موردنظر فیلترهای کنترلی را اجرا کرده و روند ایمنسازی سیستم را اجرا میکند. در این میان در صورت عدم اقدام سیستم SIS و سیستمهای دفاعی سامانه DCS خط نهایی دفاع که در تأسیسات صنعتی قرار دارد کنترل صورت میگیرد این کنترل با استفاده از حفاظت مکانیکی، آلارم های فیزیکی، روشهای پاسخ اضطراری و سایر مکانیزم هایی برای کاهش این حملات استفاده میکند.
کاربران از روشهای مختلفی برای برقراری ارتباط DCS کارخانه خود با SIS استفاده میکنند. در این میان رویکرد سنتی براساس اصول جداسازی برای زیرساختهای ارتباطی و استراتژیهای کنترلی متکی است.
سیستمهای ایمنی و حمله
نحوه فعالیت و چرخه انجام حمله مانند تمام سایبری است با این تفاوتها که اول مأموریت مهاجم این است که تمام فرایندهای عملیاتی را متلاشی کند تا به اطلاعات موردنظر دستیافته و سرقت را انجام دهد. دوم، مهاجم باید اطلاعات شناسایی OT را انجام داده و دانش کافی مهندسی را جهت درک فرایند صنعتی داشته باشد تا فعالیتهای پیش رو را با موفقیت اجرا کند.
شکل 2 نشاندهنده ارتباط بین امنیت سایبری و کنترل ایمنی در محیط کنترلی را نشان میدهد که در صورت ناکام بودن اقدامات سایبری کنترل ایمنی برای جلوگیری از آسیب فیزیکی طراحیشده است. در این میان برای به حداکثر رساندن تأثیر فیزیکی، یک مهاجم اینترنتی نیز باید از کنترلهای ایمنی جلوگیری کند.
مدل تهدید SIS نامبرده برخی از گزینههای موجود برای مهاجم است که با موفقیت از ایجاد اختلال در سیستم موردنظر نشان میدهد.
• مهاجم قادر به برنامهریزی مجدد SIS خواهد بود با استفاده از این اقدام میتواند به ارسال اطلاعات کاذب اقدام کند.
• راهاندازی سیستم پس از ایجاد اختلال بسیار هزینهبر خواهد بود.
• مهاجم میتواند منطق SIS را مجدداً برنامهریزی کند تا شرایط نامساعدی را حفظ کند.
• افزایش خطر ابتلا به یک وضعیت خطرناک به علت از دست دادن قابلیتهای SIS باعث عواقب جسمی (مثلاً تأثیر تجهیزات، محصول، محیطزیست و ایمنی انسان) میشود.
• مهاجم میتواند این فرایند را از حالت DCS در حالت ناامن دستکاری کند، درحالیکه مانع از دسترسی SIS بهطور مناسب میشود.
• تأثیر بر سلامت انسان، محیطزیست و یا آسیب به تجهیزات که میزان آن بستگی به محدودیتهای فیزیکی فرآیند و طراحی کارخانه دارد.
تجزیه تحلیل هدف مهاجم
نتایج حاصله نشان میدهد مهاجم هدف اصلی خود را ایجاد اختلال فیزیکی در سامانه میداند. و این مبنا را مدنظر قرار میدهیم که پس از ایجاد فرایندهای موردنظر در سامانه قادر به ایجاد اختلال در سیستم شود. این در حالی است که اقدامات صورت گرفته باعث ایجاد اختلال در هر دو سیستم DCS و SIS خواهد شد که حداکثر آسیبهای فیزیکی را به سیستم میتواند وارد کند.
هنگامیکه مهاجم در شبکه SIS با استفاده از حمله TRITON و پروتکل ارتباطی TriStation استفاده میکند که در این میان مهاجم قادر به انجام دستور خاتمه فرایند کنترلی در سامانه را صادر کند.
خلاصهای از قابلیتهای بدافزار
ابزار حمله TRITON با تعدادی از ویژگیها، ازجمله توانایی خواندن و نوشتن برنامهها، خواندن و نوشتن توابع خاص و پرسوجو از وضعیت کنترلکننده SIS ساختهشده است. بااینحال، تنها برخی از این قابلیتها در نمونه trilog.exe قابلاستفاده بودند.
بدافزار مذکور توانایی برقراری ارتباط با کنترلکنندههای Triconex SIS را داشته (بهعنوانمثال ارسال دستورات خاص مانند توقف یا خواندن محتوای حافظه آن) که از راه دور امکانپذیر است که با استفاده از این قابلیت از راه دور تمام سامانه را برنامهریزی کرده و فعالیت مخرب خود را ایجاد میکند.
توصیهها
کاربرانی که مایل به دفاع در برابر این حمله هستند باید کنترلهای زیر را برای ایجاد سامانه هر چهبهتر در نظر بگیرند.
• تا جایی که امکانپذیر است شبکههای فنی را از شبکههای سیستم کنترل صنعتی و کنترل اطلاعات جدا کرده.
• در کنترلکنندههایTriconex، کلیدها نباید در حالت PROGRAM بهغیراز رویدادهای برنامهریزیشده باقی بمانند.
• اجرای رویههای مدیریتی برای تغییر در موقعیت کلید.
• برای هر برنامه کاربردی که به دادههای ارائهشده توسط SIS بستگی دارد، از یک دروازه یکطرفه بهجای اتصال دوطرفه استفاده کنید.
• پیادهسازی کنترل دسترسی سختافزاری و سفارشی کردن نرمافزار در هر نقطهی سرور یا ایستگاه کاری که میتواند سیستم SIS را بر روی TCP / IP برساند.
• نظارت بر ترافیک شبکه کنترل صنعتی برای جلوگیری از اقدامات پیش رو.
تجزیهوتحلیل فنی
TRITON در یک ایستگاه کاری مهندسی SIS در حال اجرا سیستمعامل ویندوز مایکروسافت مستقر شد. بدافزار بهعنوان یک برنامه مشروع Triconex Trilog بهعنوان مظنون شناخته شد. این برنامه برای بررسی سیاهههای مربوط استفاده میشود و بخشی از مجموعه برنامه TriStation است. این بدافزار بهعنوان یک اسکریپت پایتون کامپایلر شده Py2EXE بسته به یک فایل زیپ که حاوی کتابخانههای متنباز با استفاده از استاندارد Python و همچنین چارچوب حمله Triconex برای حمله با کنترلکنندگان Triconex است. در این میان با اجرای دو فایل باینری inject.bin (کد عملکرد مخرب) و imain.bin (منطق کنترل مخرب)، بهعنوان loadloader کنترل سامانه را به دست گرفته این در حالی است که فایلهای موردنظر در اسکریپت پایتون کامپایلر شده Py2EXE قرارگرفته است.
Trilog.exe یکی از گزینههای خط فرمان را انتخاب کرد که یک آدرس IP منحصربهفرد دستگاه Triconex است. این قابلیت توانایی کشف کتابخانه TRITON را برای شناسایی دستگاه Triconex ندارد، در عوض نمونهای از trilog.exe باید بهطور جداگانه برای هر کنترلکننده در محیط مورداستفاده هدف قرار گیرد؛ و پس از فراخوانی trilog.exe وضعیت کنترلکننده را موردبررسی قرار میدهد و اطلاعات پیکربندی موردنظر توسط پروتکل TriStation نمایش داده میشود. درصورتیکه کنترلکننده در حال اجرا باشد trilog.exe دو فایل injject.bin و imain.bin را رمزگذاری کرد و آنها را به کتابخانههای ارتباطی منتقل میکند تا به حافظه برنامه و جدول اجرای آن کنترل شوند.
پس از بارگذاری پروندهها در کنترلر، Triconex به حافظه وارد شده و اسکریپت شمارش معکوس را آغاز میکند که بهطور دورهای وضعیت کنترلکننده را بررسی میکند. لذا در این میان در صورت شناسایی یک خطا با استفاده از روش SafeAppendProgramMod کتابخانه مرکزی را با استفاده از دستور پروتکل TriStation تنظیم مجدد میکند. در صورت اجرا نشدن این کار trilog.exe یک برنامه ساختگی را جهت کنترل حافظه به سیستم ارسال میکند. کارشناسان معتقدند که این اقدامات فعالیت بدافزار را در سیستم Triconex نمایش نمیدهد.
TRITON پروتکل TriStation را اجرا میکند که پروتکل مورداستفاده نرمافزار TriStation است و برای پیکربندی کنترلکنندهها استفاده میشود.
TsHi رابط سطح بالا ایجادشده توسط مهاجمان است که اجازه اجرای دستورات به سیستم را میدهد که مهاجم اسکریپتهای موردنظر را در چارچوب بدافزار TRITON اجرا کند. از ای توابع برای شناسایی حمله توزیعشده استفاده میشود. این توابع بهطورکلی دادههای باینری را از کاربر دریافت کرده و مسئولیت رسیدگی به کدهای موردنظر را به عهده میگیرند.
TsBase، یکی دیگر از ماژولهای بدافزار است که شامل توابع استفادهشده توسط TsHi است که عملیات موردنظر مهاجم را به کد تابع پروتکل مناسب TriStation ترجمه میکند و برای بعضی از توابع اطلاعات را در فرمت مناسب بسته و قرار میدهد.
TsLow یک ماژول مهاجم اضافی است که پیادهسازی پروتکل SIP TriStation UDP را بر عهده دارد. کتابخانه TsBase در درجه اول به روش ts_exec بستگی دارد در این روش، کد تابع و کد موردنظر را در بر میگیرد و دستورالعملهای بارگیری را از طریق UDP ارسال میکند. این پاسخ را در مقایسه با مقدار مورد انتظار بررسی میکند و یک ساختار اطلاعات از نتیجه مورد را نشان میدهد که نشاندهنده موفقیت یا شکست فعالیت انجامشده است.
TsLow روش اتصال به کنترلکننده هدف را نمایش دهد که در صورت نداشتن هدف تابع detect_ip شناساییشده در دستگاه را اجرا میکند.