この記事は2019年10月1日に更新されました。
FireEye [全文公開、FireEye はNozomi Networks のパートナーです]は、TRITON と呼ばれる新種の ICS マルウェアに施設を攻撃された産業オペレータと最近協力したことを報告しました。この攻撃は、施設の安全計装システム(SIS)コントローラを再プログラムし、故障状態に陥らせ、その結果、工業プロセスを自動シャットダウンさせた。
この攻撃は大胆かつ注目すべきもので、ICS(産業用制御システム)だけでなくSIS機器を標的とし、影響を与えた最初の既知の攻撃である。また、攻撃されたSISのタイプは広く使用されており、多くの業界で一貫した方法で委託されている。
SISへの干渉がもたらす潜在的な影響を考えると、このマイルストーン攻撃は、セキュリティ・チームとエンジニアリング・チームによって研究されるべきである。SISのセキュリティ管理は見直されるべきであり、おそらく強化されるであろう。 その中で、ICSネットワークのモニタリングと異常検知を実施することが推奨される。
TRITONマルウェアがSISコントローラを再プログラム
TRITON攻撃は、脅威者がSISのエンジニアリング・ワークステーションにリモートアクセスしたところから始まった。その後、攻撃者はTRITON攻撃フレームワークを展開し、SISコントローラを再プログラムした。
インシデント発生中、SISコントローラの一部が故障状態に陥り、工業プロセスが自動的にシャットダウンした。このため、オペレーターは調査を開始し、FireEye の Mandiant チームが調査を実施した。
FireEyeは、攻撃者が物理的な損害を与える能力を開発する間に、不注意で業務を停止させたと中程度の確信を持っている。この結論に至った理由や攻撃に関するその他の重要な詳細については、TRITONに関するFireEyeのブログ記事をご覧ください。
幸いなことに、物理的な被害や安全上の問題は発生しなかったが、この攻撃は、高度なICSサイバー攻撃のステップアップを象徴するものである。 SIS を標的としたマルウェアとしては初めてであり、特に ICS を標的としたマルウェアとしては、Stuxnet、Havex / Dragonfly、Blackenergy2/3、Industroyer / CrashOverride に次いで 5 つ目です。
脅威行為者と標的機器は論点ではない
FireEyeも他のアナリストも、この攻撃の脅威主体は国家であると推測しているが、特定の国家を特定しているわけではない。その理由は以下の通りである:
- 標的は重要インフラ事業者だった。
- この攻撃には金銭的な目的は含まれていない。
- サイバーセキュリティの専門知識とエンジニアリングの専門知識の両面で、必要とされる技術的リソースは相当なものだった。
攻撃されたSISシステムは、シュナイダーエレクトリック社のTriconex Safety Instrumented System(「TRISIS」としても知られる「TRITON」というマルウェア名)だったが、このマルウェアはTriconex専用に設計されたものではなく、標的組織がTriconexを使用していたために設計されたものだった。
自分のオペレーションが国家の標的になる可能性があるかどうか、そしてトライコネックスSISを使っているかどうかが重要なポイントではない。 むしろ、SISが攻撃を成功させたのだから、この事件を踏まえて何が起きたかを検証し、防御策を評価することが重要なのだ。
トリトンに有効なディフェンス
TRITONを防御するために、FireEyeとNozomi Networks 、以下の防御策を推奨している:
- 安全システムネットワークをプロセス制御および情報 システムネットワークから分離する。例えば、ISA-99 / IEC 62443 はゾーンとコンジットの概念を使用し、コンジットはゾーン間のデータの流れを制御する。
- エンジニアリング・ワークステーションを他のプロセス制御や情報システムのネットワークにデュアルホームしないでください。
- 物理的なコントロールを提供するハードウェア機能を使用する。このケースでは、Triconexの物理キーがPROGRAMモードのままになっていた。その代わりに、ロックと警告を行い、キーポジションの変更には変更管理プロセスを設けるべきである。
- SISからアプリケーションへのデータフローを、一方向のアウトバウンド・トラフィックのみに制限する。
- アプリケーション許可リストとアクセス制御手段を使用して、サーバーまたはワークステーションからSISへのデータフローを制限する。
- ICSのトラフィックを監視し、予期せぬ通信フローやその他の異常なアクティビティを見つけ、迅速に調査する。
ハイブリッド脅威検知はどのように役立つか
予期せぬ通信フローや異常なアクティビティを検出するには、パッシブなICSネットワーキング監視を使用することができます。 Guardian 製品を使用することができます。そして、私たちのソリューションの1つの側面として、ここで恥ずかしげもなく呼びかけるのが、ハイブリッド脅威検知機能です。
ハイブリッド型脅威検知とは、当社のソリューションが行動ベースの異常検知とルールベースの異常検知の両方を使用し、2つのアプローチ間の情報を相関させることで、迅速な脅威検知を実現することを意味する。
TRITONの場合、Guardian 、標準的な通信動作の変化を素早く特定する。また、トラフィックをYaraルールによって提供されるマルウェア・シグネチャと比較し、一連のアラートを統合インシデントに関連付けることで、オペレータが問題を迅速に理解できるようにします。
TRITONの場合、最初の攻撃の時点ではYaraのルールが存在しなかったのは事実である。しかし、現在ではFireEyeがルールを提供しており、以下のようにGuardian 、簡単に組み込むことができる。
最後に、Guardianのハイブリッド脅威検知には、堅牢なアサーション機能も含まれている。アサーションは、システムに質問できるカスタムの質問であり、修復対応を開始および自動化するためにも使用できる。運用担当者は、このアサーションを使用して、各インス トール固有の脅威ハンティング、監視、修復を行うことができます。
サイバーセキュリティのベストプラクティスを無視するな
TRITONの事件は、ICS環境に対する基本的かつ高度な管理の必要性を補強している。一方で、ネットワークのセグメンテーションや、物理的なトリコネックス・キーのような物理的防御の使用といった、基本的なサイバー・セキュリティ管理が行われていなかったことは残念だ。
また、シュナイダーエレクトリックはICSサイバーセキュリティに非常に積極的であるにもかかわらず、この画期的な事件によって特別視されていることも残念である。同社はICSサイバーセキュリティに非常に積極的であるにもかかわらず、この画期的な事件で取り上げられたことは残念である。問題の設備では、同社のサイバーセキュリティに関する推奨事項が守られていなかったようであり、シュナイダーエレクトリックの新しい製品にはサイバーセキュリティが「設計されている」ことに留意すべきである。
しかし現実には、古い機器やレガシーなネットワーク・スキーマが一般的に使用されている。TRITONのような攻撃に直面した場合、どのようにサイバーセキュリティに積極的に対応できるのか?そのような攻撃を検知したりブロックしたりするための管理体制は整っているのか? 被害が出る前に迅速に介入する準備はできているか?
幸いなことに、FireEyeが記録した事故では、誰も怪我をすることなく、Triconex SISは安全なプロセスのシャットダウンを実行した。そして、専門的な調査を開始したオペレーターに賞賛を送りたい。
これが2017年最後の主要なICSサイバーセキュリティの話であることを祈ろう。過去数年の大晦日を考えると、重要インフラへの攻撃が阻止されたことは、サイバーによって引き起こされた電力網の停止を知るよりもずっと良い年の締めくくり方だ!
2018年8月8日更新
TRITONに関する追加資料を発表しました。これらには以下が含まれます:
- 新しいTRITONツールWireshark用TriStationプロトコルプラグイン(無料ダウンロード)
- エンジニアは、TriStation の通信を視覚的に確認し、理解することができます。また、セーフティコントローラに接続されたハードウェアを識別し、ネットワーク通信におけるTRITONのアクティビティを受動的に検出します。
- ブログ新しいTRITON解析ツール:TriStationプロトコル用Wiresharkディセクタ
- Wireshark用TriStationプロトコルプラグインの説明
- 新しいTRITONツールTriconexハニーポットツール(無料ダウンロード)
- 防衛チームが産業ネットワーク上のSISコントローラをシミュレートし、ハニーポットのように使用して偵察スキャンを検出し、悪意のあるペイロードをキャプチャするのに役立ちます。
- ブログブラックハット:初のSISサイバー攻撃「TRITON」を理解する
- TRITONを使用してTriconexコントローラに新しいプログラムを実装し、悪意のあるOT ペイロードを実行した方法を含む、TRITON研究に関するBlack Hat USA 2018でのプレゼンテーションについて説明します。
- プレスリリースNozomi Networks 研究者たちは、我々はTRITONのような攻撃の最後を見ていないと警告する
Nozomi Networks 共同設立者兼最高製品責任者のアンドレア・カルカンコは、Black Hatカンファレンスの参加者に対し、TRITONのような攻撃はまだ終わっていないと警告した。
