Die Malware mit dem Namen Triton machte schon 2017 Schlagzeilen. Damals war sie gezielt eingesetzt worden gegen eine petrochemische Anlage in Saudi-Arabien. Triton ist eine hoch-spezialisierte Malware, die darauf zielt, bestimmte Sicherheitssysteme zu deaktivieren. Triton ist auch bekannt unter dem Namen Trisis. Diesen Beinamen erhielt die Malware, da sie auf Triconex Safety Instrumented Systems-Controller abzielt. Das Unternehmen Schneider Electric stellt diese Systeme her. Das Sicherheitsunternehmen FireEye veröffentlichte am 10.04.2018 einen Bericht auf dem Security Analyst Summit 2019 in Singapur über ihre Untersuchungsergebnisse zu einem neuen Vorfall, der bei einem ihrer nicht näher genannten Kunden stattgefunden hat. Auch dieses Opfer hat seinen Firmensitz im Nahen Osten.

Dies ist erst der zweite bekannte Angriff, bei dem Triton zum Einsatz gekommen ist. Die Malware wird mit Hintermännern in Russland in Verbindung gebracht. FireEye konnte aus dem ersten Angriff feststellen, dass sich Triton als legitime Triconex-Trilog-Anwendung maskiert hat – welche gewöhnlich Systemprotokolle überprüft. Schon 2017 erläuterten die FireEye-Forscher: „Die Malware wurde als Py2EXE-kompiliertes Python-Skript bereitgestellt, das von einer ZIP-Datei abhängig ist, die standardmäßige Python-Bibliotheken, Open Source-Bibliotheken sowie das von Angreifern entwickelte Triconex-Angriffsframework für die Interaktion mit den Triconex-Controllern enthält. Im Prinzip hat sich daran nichts geändert. Hinzugekommen sind laut den Untersuchungen des neuesten Angriffs allerdings noch ein paar weitere Malware-Tools.

Die Akteure hinter Triton-Angriffen nehmen sich viel Zeit für ihre Angriffe. Auch beim zweiten Angriff lagen sie fast ein Jahr lang im Zielnetzwerk auf der Lauer. Als der richtige Zeitpunkt gekommen war, verschafften sie sich Zugang zu einer Engineering-Workstation. Alle ihre Bemühungen konzentrierten sich darauf, einen Zugang zum operativen Netzwerk seiner Opfer zu erhalten. Gleichzeitig bemüht sie sich redlich, unter dem Radar der Virenerkennung zu bleiben. Dafür verwendete sie benutzerdefinierte Tools. In anderen Aktionen kamen sowohl benutzerdefinierte als auch herkömmliche Tools zum Einsatz. Zu letzteren gehörte Mimikatz und das SecHack Tool wurde für ihre Zwecke umgeschrieben. Laut FireEye sind mache der eingesetzten Tools schon fast acht Jahre alt. Andere Tools zur Kommunikation mit den betroffenen Computern wurden über eine Ansammlung von Backdoors verwaltet. Jede einzelne Backdoor basiert
e auf einem anderen Remote-Befehlstool wie beispielsweise Cryptcat, PLINK, Bitvise und OpenSSH. FireEye hat eine ganz Liste mit weiteren Malwaretools veröffentlicht.

Daneben gab es für die Hacker noch viele andere parallel verlaufende Vorgänge zu erledigen. Sie mussten unsichtbar agieren, notfalls ihre Spuren verwischen oder forensische Untersuchung ihrer Tools und Aktivitäten verhindern. Dazu haben sie sogar ihre eigenen Schadprogramme umbenannt, damit sie wie Microsoft Programme oder solche von Schneider Electric Anwendungen aussahen. Mit Standardtools ahmten sie legitime Administratoraktivitäten nach, darunter wurden RDP und PsExec / WinRM sehr häufig genutzt. Selbst Webshells auf Outlook Exchange-Servern angelegt, wurden geändert als bereits vorhandene legitime Dateien flogon.js und logoff.aspx. Die meisten Aktivitäten fanden außerhalb der normalen Arbeitszeiten statt, wenn ihr Opfer personell unterbesetzt war.

John Hultquist, Direktor der Geheimdienstanalyse von FireEye sagte in einer Erklärung, dass sein Unternehmen die neuen benutzerdefinierten Triton-Toolkits öffentlich bekannt gemacht habe, damit andere potenzielle Opfer in aller Welt sie erkennen und sich dagegen wappnen könnten. Er geht davon aus, dass diese Toolkits noch an anderer Stelle zum Einsatz gekommen sind.
Die Forscher vermuten, dass der aktuelle Angriff Erfolg hatte. Der erste Angriff mit Triton führte beinahe zu einer schweren Beschädigung der Anlage in Saudi-Arabien. Allerdings löste die Malware damals versehentlich ein Herunterfahren der Anlage in den sicheren Zustand aus. Es bleibt abzuwarten, was Triton dieses Mal in der Lage war anzustellen.

Siehe auch:

• TRISIS bzw. TRITON – Schadsoftware mit Potenzial
• TRITON Malware auf Steuerungen von Schneider Electric angesetzt

Artikel von threatpost.com, 10.04.2019: SAS 2019: Triton ICS Malware Hits A Second Victim
Artikel von wired.com, 10.04.2019: A Peek Into the Toolkit of the Dangerous Triton Hackers
Artikel von darkreading.com, 11.04.2019: Triton/Trisis Attacks Another Victim
Artikel von zdnet.com, 10.04.2019: Triton hackers return with new, covert industrial attack

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0