Als die Malware, die sowohl als Triton als auch als Trisis bekannt ist, Ende 2017 ans Licht kam, erlangte sie schnell den Ruf, der vielleicht gefährlichste Code der Welt zu sein: die erste, die entwickelt wurde, um Sicherheitssysteme zu deaktivieren, die Industrieanlagen vor potenziell tödlichen physischen Unfällen schützen. Trotzdem müssen Triton-Hacker noch weitaus häufigere Hacking-Methoden anwenden, um diesen Code zu erstellen. In einigen Fällen müssen sie fast ein Jahr lang durch IT-Netzwerke graben, bevor sie ihre Ziele erreichen. Sie haben dazu ein spezielles Toolkit aus maßgeschneiderter Malware verwendet. Wenn Sie dieses Tool ans Licht bringen, können Sie möglicherweise andere aktive Eingriffe verhindern, bevor es zu spät ist.
Auf dem Kaspersky Security Analyst Summit am Mittwoch in Singapur wollen Forscher der Sicherheitsfirma FireEye einige der Erkenntnisse präsentieren, die sie aus den Spuren der Triton-Hacker gewonnen haben, die manchmal als TEMP. Veles oder Xenotime bezeichnet werden. Zwei Kunden beauftragten FireEye mit der Untersuchung von Eingriffen in ihre Netze: die Ölraffinerie Petro Rabigh, die 2017 von Triton in Saudi-Arabien vorübergehend stillgelegt wurde, und ein anonymes, zuvor nicht bekannt gegebenes Opfer, dessen Verletzung FireEye erst in diesem Jahr untersucht hatte.
Bei diesen Untersuchungen hat FireEye eine Sammlung von angepasster, bösartiger Software identifiziert, die von den Triton-Hackern verwendet wurde. Mit diesen Tools konnten die Hacker ihr Eindringen geduldig vorantreiben, während sie daran arbeiteten, Zugang zu den industriellen Kontrollsystemen der Opfer zu erhalten.
Benutzerdefinierter Job
Im Gegensatz zu Triton - einem der wenigen verschwindend seltenen Schadprogramme, die direkt auf industrielle Steuerungssysteme abzielen - handelt es sich bei den neu genannten Tools im Wesentlichen um eigens geschriebene Versionen gängiger Programme, mit denen Hacker über herkömmliche IT-Netzwerke arbeiten. Laut John Hultquist, Director of Intelligence Analysis bei FireEye, kann eine detaillierte Beschreibung des benutzerdefinierten Toolkits der Triton-Hacker anderen potenziellen Zielen helfen, sich selbst zu schützen. "Wir haben sie nur zweimal gefunden und wir glauben, dass es da draußen noch mehr gibt", sagt Hultquist.
Es geht um viel. Die Hacker hinter Triton haben es bereits einmal gewagt, potenziell schwerwiegenden Schaden in einer Anlage anzurichten, indem sie Triconex-Systeme mit Sicherheitsinstrumenten in der Raffinerie von Petro Rabigh angriffen, was zu einem tödlichen, katastrophalen Unfall hätte führen können. Es löste glücklicherweise nur einen Stillstand der Anlage aus. Aber jeder anhaltende Triton-Angriff könnte ähnlich schwerwiegende Konsequenzen haben. "Wir stellen der Welt unsere Methodik zur Verfügung, damit sie nach diesem Schauspieler suchen können, den wir sehr ernst nehmen", sagt Hultquist.
Die Liste der von FireEye identifizierten Tools enthält ein Programm namens SecHack, mit dem die Kennwörter und anderen Anmeldeinformationen eines Zielbenutzers aus dem Arbeitsspeicher eines Computers abgerufen werden können, damit sie wiederholt für die Anmeldung an jedem Computer im Netzwerk verwendet werden können, auf den das Opfer Zugriff hat. Es stellt im Wesentlichen die Funktionalität eines Open-Source-Tools namens Mimikatz wieder her, das 2011 entwickelt wurde und auf ähnliche Weise Passwörter aus dem RAM eines Computers saugt. Ein weiteres benutzerdefiniertes Tool, das von den Triton-Hackern verwendet wurde, heißt NetExec. Es ahmt die Funktionalität von PSExec nach, einem Windows-Dienstprogramm, mit dem Administratoren Befehle auf Remotecomputern über ein Netzwerk ausführen können.
Hacker verwenden PSExec häufig zusammen mit von Mimikatz gestohlenen Anmeldeinformationen. Die Triton-Hacker kombinieren auf ähnliche Weise ihre benutzerdefinierten SecHack- und NetExec-Tools und verwenden sie, um innerhalb eines Netzwerks von Maschine zu Maschine zu springen.
"Wir haben sie nur zweimal gefunden, und wir glauben, dass es da draußen noch mehr gibt."
John Hultquist, FireEye
Warum benutzerdefinierte Versionen öffentlich zugänglicher Warentools schreiben? Der FireEye-Sicherheitsforscher Steven Miller sagt, die Triton-Hacker hätten möglicherweise eine benutzerdefinierte Software entwickelt, um Sicherheitstechnologien auszuweichen, die die Verwendung von Mimikatz und PSExec erkennen lassen. Dadurch können sie sich möglicherweise länger im Netzwerk eines Opfers verstecken. In beiden Fällen, die FireEye analysierte, hielten die Eindringlinge der Hacker monatelang an, bevor sie überhaupt versuchten, ihre Triton-Nutzlast fallen zu lassen. Aber diese Entscheidung gibt jetzt jedem, der diese einzigartigen Tools in seinem Netzwerk entdeckt, einen starken Hinweis darauf, dass sie von einer sehr gefährlichen Hacker-Gruppe mit einer Geschichte der physischen Sabotage angegriffen werden. "Es gibt einen Kompromiss in Bezug auf die Risiken, die sie eingehen", sagt Miller.
Eine weitere Handvoll Tools, die FireEye in seinem Vortrag genannt hat, ermöglichen es den Hackern, die Kommunikation mit kompromittierten Maschinen über eine Tasche voller Hintertüren zu steuern. Jede dieser Backdoors basiert auf einem anderen Remote-Befehlstool: Cryptcat, PLINK, Bitvise und OpenSSH. "Sie bringen ein bisschen Abwechslung", spekuliert Miller. "Dies kann ihnen helfen, den Zugriff aufrechtzuerhalten, insbesondere angesichts der Erkennung oder der Reaktion auf Vorfälle."
Zusätzlich zu diesen benutzerdefinierten Tools hat FireEye eine umfassendere Sammlung anderer Techniken, die die Triton-Hacker verwendet haben, in diesem Blogbeitrag aufgeführt.
Sirenen von Triton
Nur das Durchsuchen des Netzwerks nach diesen benutzerdefinierten Tools und Techniken sollte niemandem ein falsches Gefühl des Vertrauens vermitteln, warnt Dave Weinstein, Vizepräsident für Bedrohungsforschung bei der Sicherheitsfirma für industrielle Steuerungssysteme, Claroty. Das Vorhandensein der Tools, die FireEye genannt hat, mag aufschlussreich sein, aber das Fehlen dieser Tools bedeutet nicht viel, da die Triton-Hacker ihre Tools wahrscheinlich im Laufe der Zeit ändern und dies nach den Enthüllungen von FireEye wahrscheinlich erneut tun werden. Aber er sagt, dass die Arbeit von FireEye dennoch dazu beitragen könnte, einige laufende Operationen zu identifizieren. "Wenn es irgendwelche aktiven Eingriffe gäbe, könnten diese Operationen beeinträchtigt werden, und das ist riesig", sagt Weinstein.
Auch wenn FireEye ausführlich beschreibt, wie sich die Hacker durch einige Zielnetzwerke bewegt haben, bleibt die genaue Art und Weise, wie sie anfänglich auf diese Netzwerke zugreifen, rätselhaft. FireEye lehnte es ab, diesen ersten Schritt zu kommentieren. Joe Slowik, ein Forscher der Sicherheitsfirma Dragos für Industriesteuerungssysteme, weist jedoch darauf hin, dass die Hacker sich scheinbar brutal einschleichen und potenzielle Passwörter an nicht näher bezeichnete, von außen zugängliche Teile eines Netzwerks durchgehen. "Es sieht eher so aus, als würde man raten, als würde man eine Liste von Benutzernamen und Passwörtern verwenden", sagt Slowik.
"Wir gehen davon aus, dass dieses Unternehmen auf absehbare Zeit aktiv sein wird."
Joe Slowik, Dragos
Die beiden Ziele, deren Verstöße FireEye analysiert hat, sind bei weitem nicht die einzigen potenziellen Opfer der Triton-Hacker. Dragos berichtete letztes Jahr, dass die gleichen Hacker Öl- und Gasziele in Nordamerika und Europa untersucht haben. Und der Nachrichtensender Cyberscoop berichtete damals, dass mehrere Unternehmen in den USA von der Gruppe verletzt wurden. Laut Slowik hat das Unternehmen Anzeichen dafür gesehen, dass die Triton-Hacker möglicherweise versuchen, in Technologieunternehmen für industrielle Steuerungssysteme einzudringen, um die Technologie-Lieferkette von Industrieunternehmen zu infizieren, oder eher, um Aufklärung zu betreiben, um mehr Schwachstellen zu finden, in denen sie ausnutzen können zielgerichtete Eingriffe in zukünftige industrielle Steuerungssysteme.
"Wir gehen davon aus, dass dieses Unternehmen auf absehbare Zeit aktiv sein wird", sagt Slowik. Er merkt an, dass Dragos selbst in Opfernetzwerken keine der benutzerdefinierten "Visitenkarten" der Triton-Hacker der beschriebenen Art FireEye gesehen hat, lehnte es jedoch auch ab, zu kommentieren, ob Dragos eine direkte Reaktion auf Vorfälle für Opfer durchgeführt hat.
