image

Triton-malware infecteert opnieuw vitale infrastructuur

woensdag 10 april 2019, 11:26 door Redactie, 0 reacties

Onderzoekers hebben een tweede slachtoffer van Triton ontdekt, malware die industriële systemen in de vitale sector infecteert. Het eerste slachtoffer van Triton was een petrochemische fabriek in Saudi-Arabië. Via de malware wisten aanvallers bij deze fabriek toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation.

SIS-systemen controleren de veiligheid van allerlei processen in een fabriek. Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten vorig jaar weten.

Nu meldt securitybedrijf FireEye dat het een tweede infectie door de Triton-malware binnen de vitale infrastructuur heeft ontdekt. Om wat voor installatie het gaat en in welk land is niet bekendgemaakt. Ook is onduidelijk hoe de aanvallers toegang tot de systemen van de installatie hebben gekregen en of de aanval succesvol was. Wel waren de aanvallers bijna een jaar in het netwerk van de installatie actief voordat er toegang tot het SIS-werkstation werd verkregen.

De aanvallers gebruikten verschillende technieken om hun sporen te verbergen, waaronder het hernoemen van bestanden naar Microsoft-updatebestanden, het gebruik van standaardtools zoals RDP en het verwijderen van aanvalstools, logs en bestanden. Nadat de aanvallers toegang tot het SIS-werkstation hadden verkregen probeerden ze de Triton-malware te installeren. Om detectie te voorkomen waren ze vooral buiten de werktijden actief, wanneer er minder personeel op de locatie aanwezig was om op eventuele aanpassingen van de controller te reageren.

FireEye geeft organisaties verschillende beveiligingstips om verdachte activiteiten op het netwerk te detecteren, zoals het monitoren op registersleutels die naar exe-bestanden wijzen, bepaalde dns-lookups, uitgaande verbindingen waarbij het protocol en de poort niet overeenkomen, inkomende RDP-verbindingen, verdachte bestanden in bepaalde directories en afwijkingen in vpn-logins. Tevens heeft FireEye verschillende indicators of compromise gepubliceerd waarmee organisaties de tools van de aanvallers kunnen detecteren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.