TRITON: Neue zielgerichtete Attacke gegen Industriesysteme

Das  IT-Sicherheitsunternehmen FireEye hat vor wenigen Tagen eine Kurzanalyse einer neuer Schadsoftware (lokale Kopie) veröffentlicht, die – wie seinerzeit u.a. auch Stuxnet – spezielle Industrie-Steuerungssysteme angreift und manipuliert. Die Malware namens TRITON (zum Teil auch als TRISIS bezeichnet) greift gezielt die Steuerungssoftware in Geräten des Unternehmens Schneider Electric’s Triconex Safety Instrumented System (SIS) an. Entsprechende Geräte werden in aller Regel als Überwachungs- und „Failsafe-Systeme“ eingesetzt, die in industriellen Anlagen spezielle Parameter überwachen und im Fehlerfall reagieren indem Abläufe gezielt und sicher abgeschalten oder in einen sicheren Zustand gebracht werden. Die bisher verfügbaren Analysen geben noch keinen genauen Standort des Vorfalls an, sprechen aber grob vom „Nahen Osten“. Die Auswertung des Vorfalls legt nach der Einschätzung von FireEye den Schluß nahe, dass TRITON Bestandteil einer komplexeren Kampagne ist und die jetzt gefundene Malware eingesetzt wurde um Spuren anderer Aktivitäten zu verwischen. Die beobachteten Aktivitäten der Angreifer befanden sich den Analysten zufolge im Stadium der Aufklärung und Vorbereitung weiterer Schritte. Über weitere Vorfälle in anderen Unternehmen ist nichts bekannt, allerdings handelt es sich bei den angegriffenen Geräten um weit verbreitete Industrie-Technik.

Ein interessantes Detail das gewisse Ähnlichkeiten zu Stuxnet aufweist ist, das TRITON ein proprietäres System des Unternehmens ausnutzt, dessen exakte Funktionsweise und technisch zugrunde liegenden Protokolle nicht öffentlich dokumentiert sind. Entweder haben die Angreifer sich entsprechendes Wissen über Reverse-Engineering erarbeitet oder anderweitig Zugang zu entsprechenden Dokumentationen erhalten.  Ebenso wie Stuxnet wäre TRITON in der Lage durch Manipulationen in dem angegriffenen System direkt Schäden durch die Veränderungen von Parametern auszulösen oder indem die eigentlichen Fail-Safe-Systeme verhindert werden. Ob das in dem konkreten Fall wirklich intendiert und in TRITON implementiert war ist bislang aber unklar.

Link auf eine weitere Analyse der Schadsoftware (lokale Kopie) durch das IT-Sicherheitsunternehmen DRAGOS