Bedrohung für industrielle Kontrollsysteme (ICS)
Neue Malware Triton bedroht industrielle Sicherheitssysteme
Triton bedroht SIS-Geräte
Symantec hat einen neuen Trojaner entdeckt, der auf industrielle Kontrollsysteme (ICS) abzielt und bei jeder Zielorganisation schwerwiegende Störungen verursachen könnte. Triton (Trojan.Trisis ), wurde entwickelt, um mit einer bestimmten Art von Kontrollsystemen zu kommunizieren – sog. sicherheitsinstrumentierten Systemen (SIS-Geräte). Ein Angriff hat das Ziel ein SIS-Gerät mit einer alternativen Logik so zu manipulieren, damit dieses nicht mehr korrekt funktioniert. Triton soll Berichten zufolge, bereits gegen mindestens eine Organisation im Nahen Osten eingesetzt worden sein.
Triton könnte bereits seit September 2017 aktiv sein. Die Malware infiziert vorwiegend Windows-Computer, die mit einem SIS-Gerät verbunden sind. Die Malware injiziert einen Code, der das Verhalten des SIS-Geräts verändert. Derzeit ist der beabsichtigte Effekt noch unklar. Die Untersuchungen dazu sind noch im Gange.
Was sind SIS-Geräte?
Ein sicherheitsinstrumentiertes System ist eine Art industrielles Kontrollsystem, das entwickelt wurde, um die Leistung kritischer Systeme zu überwachen und bei der Überschreitung der Toleranzgrenzen, entsprechende Abhilfemaßnahmen zu ergreifen. Beispielsweise als Temperatur- oder Druckkontrolle bei Produktionssystemen. Das SIS ist darauf ausgelegt, solche Zustände zu erkennen und Maßnahmen einzuleiten, die die betroffenen Systeme wieder in einen sicheren Zustand zurückversetzen.
Angriffe auf SIS-Geräte können bei einer Zielorganisation möglicherweise zu Störungen führen und im schlimmsten Fall Sabotagevorgänge erleichtern. Wenn ein Angreifer in den Betrieb eines SIS eingreift, kann dies dazu führen, dass es Fehlfunktionen aufweist und den Betrieb in einer Produktionsanlage unterbricht, oder im schlimmsten Fall einen daraus resultierenden Arbeitsunfall nicht verhindern kann.
Nicht der erste ICS-Angriff
Während es einige früherer Malware-Fälle gab, die ICS angriffen, greift Triton nun zum ersten Mal SIS-Geräte an. Das erste und bemerkenswerteste Beispiel für ICS-Malware war Stuxnet (W32.Stuxnet ), das für den Angriff auf speicherprogrammierbare Steuerungen (SPS) konzipiert wurde, die im iranischen Urananreicherungsprogramm verwendet wurden.
Symantec-Kunden sind gegen die neue ICS-Malware geschützt
Die Cyber-Spionage-Gruppe von Dragonfly war auch dafür bekannt, industrielle Kontrollsysteme als Angriffsziele zu wählen und zuvor eine Reihe von ICS-Ausrüstern zu kompromittieren, indem sie deren Software mit dem Oldrea-Trojaner (Backdoor.Oldrea ) (alias Havex) infizierten.
In jüngerer Zeit enthielt die disk-wiping Malware von Disakil , die Ende 2016 bei Angriffen auf den ukrainischen Energiesektor eingesetzt wurde, eine Komponente, die auf SCADA-Systeme (Überwachungssteuerung- und Datenerfassungssysteme) abzielte. Die Malware versuchte, einen bestimmten Dienst zu stoppen und zu löschen, der für die Kommunikation mit älteren SCADA-Systemen eingesetzt wurde.
Wachsamkeit ist erforderlich
Triton scheint für eine zielgerichtete Verwendung konzipiert zu sein. Betreibern von SIS-Geräten wird jedoch empfohlen, die Betriebssicherheit zu überprüfen und die Best Practices des Herstellers zu befolgen. Beispielsweise sicherzustellen, dass Sicherheitssysteme in isolierten Netzwerken bereitgestellt werden und keine unbefugten Personen auf SIS-Geräte zugreifen können. Symantec wird diese Bedrohung weiterhin beobachten und untersuchen.