Auf der S4x18 ICS/SCADA Konferenz in Miami gab Schneider Electric genauere Informationen über die Trisis/Triton Malware, die im Herbst letzten Jahres ihr Triconex Safety Integrated Systems-Controller angegriffen hatte.

Techniker des noch unbekannten betroffenen Unternehmens im Mittleren Osten fanden bei ihren ersten Untersuchungen nach dem Not-Aus eine seltsame Computerdatei namens „trilog.exe“. Sie schien vom Systemhersteller Schneider Electric zu stammen und wurde als Ursache des Fehlers angesehen. Eskaliert wurde der Fall zunächst an einen Geschäftspartner des Unternehmens, Saudi Aramco, der hier unterstützend eingriff. Aramco hatte selbst schon Erfahrungen mit einem üblen Hackerangriff gemacht. 2012 hatte es mit dem Shamoon-Angriff zu tun und wusste daher, dass diese exe-Datei äußerst verdächtig war.

Die IT-Forensiker bei Schneider Electric entdeckten etwas später in der Firmware der angegriffenen Sicherheitssteuerung schließlich eine Zero-Day-Privilegien-Eskalations-Schwachstelle. Trilog.exe trug zusammen mit einer angehängten Partnerdatei namens Library.zip tatsächlich eine verheerende Malware. Sie fanden auch einen Remote-Access-Trojaner (RAT). Laut dem französischen Elektrotechnikonzern war es der erste RAT seiner Firmengeschichte. Die Malware machte den Weg frei für das Einschleusen des Trojaners, unter Ausnutzung der Zero-Day-Schwachstelle in der Firmware. Wie das Malwarepaket an sich abgeliefert wurde, ist allen beteiligten Forschern noch nicht bekannt.

Paul Forney, globaler Cybersicherheitsarchitekt für das Produktsicherheitsbüro von Schneider Electric in North Amerika, sagte in einem Interview, sein Unternehmen arbeite bereits an einem vollständigen Update des Version 10X Firmwarestrangs. Bis dahin stehen allen Kunden aktualisierte Produkthinweise und Softwareprogramme zur Verfügung. Die Programme sollten Kunden dabei helfen, mögliche Angriffe zu erkennen und abzuschwächen. Wie die Malware das System infizieren konnte, weiß bis jetzt nur FireEye. Sie hat diese Information aber noch nicht veröffentlicht.

Forney erläuterte, dass es sich bei dem angegriffenen System um eine Triconex Firmware der Version 10.3 handelte. Technisch gesehen hatte die Malware zunächst nur die Sicherheitssteuerung infiziert und der eigentliche Angriff wäre erst später durchgeführt worden. Dazu sei es aber durch die Notabschaltung nicht gekommen. Die zweiteiligen Vorbereitungen zum Angriff wurden allerdings gut umgesetzt. Erst wurde Zero-Day-Fehler von Triconex ausgenutzt, um Benutzerprivilegien zu erweitern. Und das erlaubt den Hackern dann, die Firmware im RAM zu manipulieren und anschließend den zweiten Teil mit dem RAT zu implementieren. Da es die höchstmöglichen Rechte besitzt, konnten die Hacker mit dem Trojaner kommunizieren und eigentlich machen, was sie wollten.

Die Analyse brachte aber auch zutage, dass der ganze Aufwand der Hacker am Ende dann doch eine Bruchlandung gewesen war. Sie leisteten sich einen ziemlichen Entwicklungsfehler beim Programmieren von Trisis/Triton. Dadurch konnte sich das Triconex-System in die Notabschaltung versetzen. Die Forscher von FireEye fanden außerdem heraus, dass im Payload Delivery-System ein Fehler aufgetreten war. Blake Johnson der hier für FireEye tätig war, sagte:

„Das Skript war erfolgreich, aber es hat sich selbst unterstützt. Wir glauben nicht, dass das passieren sollte“.

Das alles machte einen womöglich geplanten Angriff nicht mehr durchführbar. Was die Hacker eigentlich genau anrichten wollten mit Trisis/Triton, wissen die Forscher bis jetzt auch nicht. Es gibt verschiedene denkbare Szenarien, die alle Möglichkeiten offen lassen.

Die Triconex Steuerung basiert auf proprietärer Hardware, die auf einem PowerPC-Prozessor läuft. Darüber hinaus betreibt Schneider in seinen Laboren eigene proprietäre Betriebssysteme, die niemand außerhalb des Unternehmens kennen kann. Laut den Forschern hatten die Angreifer gezielt die Steuerung mit einer älteren Firmware angegriffen. Sie sind auch davon überzeugt, dass die Hacker sich mit System sehr gut auskannten – sogar Kenntnis über das proprietäre Protokoll, das öffentlich auch undokumentiert ist. Damit erstellten sie ihre eigene Bibliothek, um Befehle zu senden, die mit Tricon kommunizieren konnten. Außerdem musste der Triconex Speicherschutzmodus dann noch auf „PROGRAM“ eingestellt sein. Nur dann war eine Remote-Manipulation überhaupt möglich. Laut den Cyberforensikern war die Malware allerdings immens schwierig zu analysieren. Ihre vollständige Dateibibliothek wurde in fünf verschiedenen Programmiersprachen erstellt und kann nur dann vollständig verstanden werden, wenn sie auf derselben industriellen Ausrüstung getestet wird, für die sie speziell entwickelt wurde. Daher muss der vorangehende Aufwand der Hacker sicher enorm hoch gewesen sein, um diesen Angriff einzuleiten. So etwas ist eigentlich nur Hackern möglich, die auf große finanzielle Unterstützung bauen können.

Die Forscher gehen davon aus, dass ein Team aus professionellen Malware-Entwicklern wohl mehr als ein Jahr benötigen würde, um etwas wie Trisis/Triton zu erstellen. Die Trisis/Triton Malware war einmal wahrscheinlich „Millionen von Dollar“ Wert gewesen, wenn den Hackern nicht der Fehler passiert wäre. Es gibt unglaublich viele kompliziert gestaltete Funktionen im Code und es muss sehr viel Forschung, Entwicklung und Testen hineingesteckt worden sein. Technische Indikatoren, versteckt im Malwarecode zeigen, dass an Trisis seit mindestens Juni 2016 gebastelt wurde. Die Forscher hätten noch nie zuvor so einen ausgefeilten und technisch anspruchsvollen Code gesehen bei einer Hackergruppe.

Der Vorfall hat nun die ganze Branche wach gerüttelt, nicht nur Schneider Electric. Insgesamt waren die Sicherungssysteme auf dem Markt schon sehr gut geschützt. Daher staunt die Branche jetzt, dass es Hackern gelungen ist, Steuerungssysteme dieses Sicherheitsstandards anzugreifen. Scheider und alle anderen Hersteller ähnlicher Systeme setzen derzeit alle Kapazitäten daran, die Sicherheitsmaßnahmen weiter zu verbessern. Insbesondere die Ingenieure bei Schneider Electric arbeiten auf Hochtouren, um das Firmware-Update fertigzustellen. Danach sollen technische Supportteams zu den Kunden reisen, um die Firmware neu zu brennen und neu zu flashen, hieß es.
Das Ausmaß und die Auswirkungen für potenzielle Opfer werden aufgrund der voranschreitenden forensischen Untersuchungen immer deutlicher. Die verschiedenen Forscher waren sich einig, Trisis/Triton als die „nächste Generation der Cyberwaffen“ zu beschreiben. Es sei ein so gefährliches Hacker-Werkzeug, dass es ein Wendepunkt im globalen digitalen Wettrüsten einleitet.

Die Beamten beim ICS-CERT befassen sich seit einer Weile auch intensive mit Trisis/Triton, da sie eine potenzielle Gefahr für kritische Infrastruktur in den USA sein könnte. Triconex SIS wird in vielen US-amerikanischen Industrieanlagen verwendet. Allerdings sind die US-Beamten derzeit fast schon überfordert mit der Codierung, die in der Malware steckt.

Artikel von darkreading.com, 18.01.2018: Schneider Electric: TRITON/TRISIS Attack Used 0-Day Flaw in its Safety Controller System, and a RAT
Artikel von cyberscoop.com, 18.01.2018: Schneider Electric: Trisis leveraged zero-day flaw, used a RAT
Artikel von cyberscoop.com, 18.01.2018: Trisis has the security world spooked, stumped and searching for answers
Artikel von reuters.com, 18.01.2018: Schneider Electric says bug in its technology exploited in hack

Urheberrechte Beitragsbild: shutterstock.com