Zwei Namen für die gleiche Bedrohung. Das Sicherheitsunternehmen FireEye nannte sie Triton. Dragos, ein anderes amerikanischen Sicherheitsunternehmen fand es zeitgleich und nannte es Trisis. Wie auch immer, diese neue Schadsoftware ist ausgelegt die Triconex Safety Integrated Systems-Controller anzugreifen. Schneider Electric stellt derartige Sicherheitssteuerungen für spezielle Industriemaschinen her. Die außergewöhnlich anspruchsvolle Malware tauchte kürzlich in den Systemen eines Unternehmens im Mittleren Osten auf.

Die Forscher beider Unternehmen gehen davon aus, dass Trisis/ Triton mit der klaren Absicht entwickelt und eingesetzt wurde, eine industrielle Anlage physisch zu beschädigen. In dem betroffenen Betrieb löste die Malware jedoch lediglich eine Betriebsunterbrechung aus, was dann zu einer genauen Überprüfung führte. Nach gründlicher Untersuchung ist den Forschern nun auch klar, was Trisis bzw. Triton in der Lage ist zu tun. Erschreckenderweise soll die Malware direkt auf die Notabschaltung des sicherheitsgerichteten Triconex-Systems (SIS) von Schneider Electric einwirken. Viele industrielle Anlagen sind mit einem solchen automatischen Sicherheitssystem ausgestattet. Es soll die Anlagen bei schwerwiegenden Fehlfunktionen sofort abschalten. Würde keine Notabschaltung durchgeführt, könnte es gefährlich werden für Leib und Leben der Mitarbeiter oder der gesamte Betrieb zerstört werden. Trisis bzw. Triton legt sozusagen die Notabschaltung des Steuerungssystems lahm.

Die SIS-Technologie wird häufig in Öl- und Gasproduktionsanlagen und andern industriellen Produktionsanlagen eingesetzt. Jede SIS-Software ist jedoch einzigartig und speziell auf die jeweilige Industrieanlage zugeschnitten. Daher gibt es bisher keine weiteren bekannten Opfer. Die Malware müsste für jede Anlage umprogrammiert und angepasst werden. Trisis ist allerdings nicht die erste Malware, die für Sabotagezwecke an großen Industrieanlagen entwickelt wurde. Bisher gab es fünf Fälle, bei der Malware ähnlicher Art eingesetzt wurde. Stuxnet ist die bekannteste und Forscher sehen Ähnlichkeiten zu Trisis bzw. Triton. Stuxnet wurde seinerzeit im Iran eingesetzt, um das dortige Atomprogramm zu stören. Trisis kann Sicherheitssysteme neu programmieren und ähnliche Folgen herbeiführen, wie es Stuxnet seinerzeit konnte.

Die Forscher von FireEye als auch von Dragos wissen zwar, wie die Trisis Malware in die Systeme der betroffenen Firma eingeschleust wurde, müssen detaillierte Informationen jedoch vertraulich behandeln. Bekannt ist, dass die Angreifer sich über Remote-Zugriff Zugang zum SIS-Arbeitsplatz verschafften. Es handelt sich dabei um einen MS Windows-basierten Arbeitsplatz.

Es wird auch davon ausgegangen, dass die Hacker sich vorab intensiv mit der SIS-Technologie befasst haben. Womöglich hatten sie zuvor ein solches System erworben, oder sogar eine ganze Industrieanlage mit dieser Technologie zum Testen zur Verfügung. Die Hacker müssen es gründlich getestet und einen Teil ihres Codes reverse-engineered haben. Dann konnten sie Trisis bzw. Triton entsprechend programmieren. Sie werden schließlich auch ein tiefes technisches Fachwissen gehabt haben, um das Triconex-System überhaupt analysieren zu können.

Die Trisis/Triton Malware verkleidet sich als eine berechtigte Triconex-Trilog-Anwendung. Dies wird zur Überprüfung von Systemprotokollen eingesetzt. Die Malware wurde offenbar als Py2EXE-kompiliertes Python-Skript eingeschleust. Sie war abhängig von einer Zip-Datei mit Standard-Python-Bibliotheken, Open-Source-Bibliotheken sowie der von den Angreifern entwickelten Triconex-Angriffsmöglichkeit für die Interaktion mit den Triconex-Steuerungsmodulen. Einmal abgeliefert und entpackt, konnte es sich beim Opfer einnisten und auf seine Nutzung warten.

Laut den Forschern von Dragos habe Trisis eine „bahnbrechende“ Wirkung auf industrielle Kontrollsysteme und speziell auf Sicherheitssysteme. Ihrer Ansicht nach würde

„die gezielte Ausrichtung von SIS-Geräten eine gefährliche Entwicklung innerhalb der ICS-Computernetzwerk-Angriffe darstellen. Es sei wichtig, zu sehen, wie die Industrie darauf reagiert und miteinander über diesen Angriff kommuniziert“,

so die Dragos-Forscher. Schneider Electric tut inzwischen auch einiges, um ihren Kunden bei der Malware Erkennung und Abwehr zu helfen.

Artikel von cyberscoop.com, 18.12.2017: Triton malware shines light on threat facing energy production companies

Artikel von threatpost.com, 15.12.2017: Triton Malware Targets Industrial Control Systems in Middle East

Artikel von zdnet.com, 15.12.2017: Hackers use Triton malware to shut down plant, industrial systems

Urheberrechte Beitragsbild: shutterstock.com