SlideShare una empresa de Scribd logo

ITS Security - Triton, nuevo malware industrial

ITS SECURITY
ITS SECURITY

Triton es un nuevo malware dirigido a sistemas de seguridad industriales que monitorean redes SCADA. Ataqué dispositivos Triconex Safety Instrumented System 3008 al escribir nuevo firmware de forma remota a través de un fallo de diseño. El objetivo parece ser ataques muy selectivos para causar daños significativos.

Tecnología
1 de 10
La Nueva Ciberamenaza Contra Entornos IndustrialesTRITON Informe Técnico elaborado por UNIT71 by ITS Security. Copyright 2018.
www.its-security.es El equipo de ITS detecta un nuevo malware que ataca a Entornos Industriales Un fallo de diseño en dispositivos Triconex permite tomar el control del dispositivo por medio de un malware de nombre TRITON. El equipo de investigadores de la UNIT71 perteneciente al SOC de ITS, informan sobre el descubrimiento de un nuevo malware de nombre TRITON cuyo destino es atacar las redes industriales. TRITON Nuevo Malware en Entornos Industriales
www.its-security.es ¿Qué es y en qué consiste este nuevo malware industrial? Tritón es un nuevo malware dirigido a los sistemas de seguridad que monitorizan las redes SCADA. Está diseñado para ejecutarse desde una red industrial, lo que permite al atacante observar y controlar los dispositivos Triconex Safety Instrumented System (SIS). Los expertos de la UNIT71 by ITS SECURITY a través de una investigación en uno de sus clientes obtuvieron las evidencias de un archivo malicioso (trilog.exe) en una estación de trabajo y descubrieron que los atacantes utilizaron ese programa para intentar escribir nuevo firmware en la memoria de los dispositivos SIS. El firmware del dispositivo está diseñado para actualizarse de forma remota. Una tecla física en la parte frontal del dispositivo le permite al usuario cambiar entre un modo PROGRAMA, donde las modificaciones están permitidas, también está el modo EJECUTAR que solo permite el modo lectura. Los atacantes utilizaron esta capacidad para engañar a los usuarios a ejecutar el modo PROGRAMA. TRITON ¿Qué es y en qué consiste?
www.its-security.es ¿Qué dispositivos fueron atacados por el malware TRITON? Triton atacó a Triconex Main Processors, modelo 3008. Estos sistemas de monitorización de seguridad fueron aprobados para su uso por la Comisión de Regulación Nuclear de los Estados Unidos en 2012. TRITON ¿Qué ataca TRITON y qué impacto tiene? ¿Qué impacto tiene? Tritón parece estar diseñado para ser utilizado de forma muy selectiva, lo que significa que es posible que los atacantes se centren en un objetivo específico o en un pequeño número de objetivos. Sin embargo, se aconseja a los usuarios de dispositivos SIS que revisen la seguridad operativa y sigan las mejores prácticas del fabricante, como garantizar que los sistemas de seguridad se implementen en redes aisladas y que ninguna persona no autorizada tenga acceso a los dispositivos SIS.
www.its-security.es ¿Los atacantes necesitaron aplicar ingeniería inversa? Los atacantes no necesariamente hicieron ingeniería inversa de los dispositivos. La Comisión Reguladora Nuclear de los EE. UU. mantiene copias de las guías de programación y manuales de comunicaciones en uso en el momento de su aprobación. El apéndice D documenta el protocolo TSAA (TriStation), incluido el comando WRITE_TRICON_DATA que según nuestras investigaciones utilizaron este protocolo para la realización del ataque dado que el protocolo es simple y no tiene autenticación. La única faceta de seguridad que proporciona es un CRC por mensaje. TRITON ¿Se necesita ingeniería inversa?
www.its-security.es ¿Cómo fue el ataque de TRITON? Según nuestra investigación el atacante implementó TRITON poco después de obtener acceso al sistema SIS, lo que indica que habían precompilado y probado la herramienta que requeriría acceso a hardware y software. TRITON también está diseñado para comunicarse utilizando el protocolo patentado de TriStation que no está documentado públicamente, lo que sugiere que el adversario ha diseñado de forma independiente este protocolo. TRITON ¿Cómo fue el ataque?
www.its-security.es Características más importantes de TRITON ▪ TRITON se diseñó para ser ejecutado en una estación de trabajo de ingeniería SIS que ejecuta el sistema operativo Microsoft Windows. ▪ El malware fue renombrado para hacerse pasar por la aplicación legítima Triconex Trilog. Esta aplicación se utiliza para revisar registros y es parte del paquete de aplicaciones de TriStation. ▪ El malware se compone de un ejecutable (Python compilado Py2EXE) que depende de un archivo comprimido que contiene bibliotecas estándar de Python, bibliotecas de código abierto, así como el framework Triconex desarrollado por el atacante para interactuar con los controladores Triconex. TRITON ¿Características?
www.its-security.es Características más importantes de TRITON ▪ Junto con el ejecutable, se implementaron dos archivos binarios, inject.bin (código de función maliciosa) e imain.bin (lógica de control malicioso). Estos archivos fueron desarrollados en Python compilado con Py2EXE. ▪ TsHi es la interfaz de alto nivel creada por los autores del malware que permite interactuar a los atacantes. ▪ TsBase, otro módulo escrito por los atacantes y contiene las funciones llamadas por TsHi y permite enviar los comandos de forma empaquetada y formateada para su reconocimiento del protocolo. ▪ TsLow es un módulo atacante adicional que implementa el protocolo de cableado TriStation por UDP. TRITON ¿Características?
¿Cómo hacer frente a estas amenazas? Desde ITS Security podemos ayudarte www.its-security.es marketing@its-security.es
ITS | GIPUZKOA (CENTRAL) Polígono Kurutz Gain Números 12-13 20850 Mendaro (Gipuzkoa) Tfn.: 902 102 655 ITS | MADRID Parque científico de Madrid Calle Faraday 7 28049 Cantoblanco (Madrid) Tfn.: 902 102 655 ITS | BIZKAIA Parque Tecnológico de Zamudio Laga Bidea, Edif. 804 – Módulo 301 48160 Derio (Bizkaia) Tfn.: 902 102 655 ITS | NAVARRA Polígono la estrella Berroa 19 31192 Tajonar (Navarra) Tfn.: 902 102 655 ITS | A CORUÑA Polígono Industrial Pocomaco (Abanca Innova)Parcela C 10 15190 A Coruña (Galicia) Tfn.: 902 102 655 www.its-security.es marketing@its-security.es

Recomendados

Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
Sergio Fuentes
 
Trabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negociosTrabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negocios
Cade Soluciones
 
Antivirus
AntivirusAntivirus
Antivirus
alejandramaldonado96
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
torresysaro
 
Software Para Antivirus
Software Para AntivirusSoftware Para Antivirus
Software Para Antivirus
Belén Barrionuevo
 
Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software
kratosVA
 
Seguridad informática: virus y otros daños para nuestro PC
Seguridad informática: virus y otros daños para nuestro PCSeguridad informática: virus y otros daños para nuestro PC
Seguridad informática: virus y otros daños para nuestro PC
yireni
 
Expo
ExpoExpo
Expo
DESEMPLEADO BUSCANDO NUEVOS RETOS
 

Recomendados

Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
Sergio Fuentes
 
Trabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negociosTrabajar remotamente nunca fue mas facil #Surface para negocios
Trabajar remotamente nunca fue mas facil #Surface para negocios
Cade Soluciones
 
Antivirus
AntivirusAntivirus
Antivirus
alejandramaldonado96
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
torresysaro
 
Software Para Antivirus
Software Para AntivirusSoftware Para Antivirus
Software Para Antivirus
Belén Barrionuevo
 
Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software
kratosVA
 
Seguridad informática: virus y otros daños para nuestro PC
Seguridad informática: virus y otros daños para nuestro PCSeguridad informática: virus y otros daños para nuestro PC
Seguridad informática: virus y otros daños para nuestro PC
yireni
 
Expo
ExpoExpo
Expo
DESEMPLEADO BUSCANDO NUEVOS RETOS
 
Presentacion de antivirus
Presentacion de antivirusPresentacion de antivirus
Presentacion de antivirus
potersitosoc
 
Diapositivas tic-6
Diapositivas tic-6Diapositivas tic-6
Diapositivas tic-6
mayranimosso
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
Emilio Casbas
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Marlon López
 
Antivirus
AntivirusAntivirus
Antivirus
aylinmunguia
 
Colegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatanColegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatan
Carlos Gutierrez
 
Introducción
IntroducciónIntroducción
Introducción
Jose Luis Alvarez Cordova
 
ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
Diego Torres
 
Proteccion y seguridad
Proteccion y seguridadProteccion y seguridad
Proteccion y seguridad
FATIMA CENTENO HURTADO
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
JESÚS GUERRA
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
arthurLeav
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
arthurLeav
 
Seguridad informatica 01
Seguridad informatica 01Seguridad informatica 01
Seguridad informatica 01
Uniandes
 
Sunu
SunuSunu
Sunu
J Lds
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
J Lds
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
hmitre17
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcialReactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Leonel Ibarra
 
8. seguridad informatica paty
8. seguridad informatica paty8. seguridad informatica paty
8. seguridad informatica paty
PatriciaPasiche
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
Danianny Verónica Senju
 
Septima U
Septima USeptima U
Septima U
SistemOper
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
johanna mc gee
 

Más contenido relacionado

La actualidad más candente

Diapositivas tic-6
Diapositivas tic-6Diapositivas tic-6
Diapositivas tic-6
mayranimosso
 
Colegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatanColegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatan
Carlos Gutierrez
 

La actualidad más candente (7)

Presentacion de antivirus
Presentacion de antivirusPresentacion de antivirus
Presentacion de antivirus
 
Diapositivas tic-6
Diapositivas tic-6Diapositivas tic-6
Diapositivas tic-6
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Colegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatanColegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatan
 
Introducción
IntroducciónIntroducción
Introducción
 

Similar a ITS Security - Triton, nuevo malware industrial

Seguridad informatica 01
Seguridad informatica 01Seguridad informatica 01
Seguridad informatica 01
Uniandes
 
Sunu
SunuSunu
Sunu
J Lds
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
hmitre17
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcialReactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Leonel Ibarra
 

Similar a ITS Security - Triton, nuevo malware industrial (20)

ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
 
Proteccion y seguridad
Proteccion y seguridadProteccion y seguridad
Proteccion y seguridad
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Seguridad informatica 01
Seguridad informatica 01Seguridad informatica 01
Seguridad informatica 01
 
Sunu
SunuSunu
Sunu
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcialReactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
 
8. seguridad informatica paty
8. seguridad informatica paty8. seguridad informatica paty
8. seguridad informatica paty
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
 
Septima U
Septima USeptima U
Septima U
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario roman
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Trabajo de julio
Trabajo de julioTrabajo de julio
Trabajo de julio
 

Más de ITS SECURITY

ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS SECURITY
 
ITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPDITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPD
ITS SECURITY
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS SECURITY
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
ITS SECURITY
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
ITS SECURITY
 

Más de ITS SECURITY (8)

ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
 
ITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPDITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPD
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
 
ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019
 
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
 
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (12)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

ITS Security - Triton, nuevo malware industrial

  • 1. La Nueva Ciberamenaza Contra Entornos IndustrialesTRITON Informe Técnico elaborado por UNIT71 by ITS Security. Copyright 2018.
  • 2. www.its-security.es El equipo de ITS detecta un nuevo malware que ataca a Entornos Industriales Un fallo de diseño en dispositivos Triconex permite tomar el control del dispositivo por medio de un malware de nombre TRITON. El equipo de investigadores de la UNIT71 perteneciente al SOC de ITS, informan sobre el descubrimiento de un nuevo malware de nombre TRITON cuyo destino es atacar las redes industriales. TRITON Nuevo Malware en Entornos Industriales
  • 3. www.its-security.es ¿Qué es y en qué consiste este nuevo malware industrial? Tritón es un nuevo malware dirigido a los sistemas de seguridad que monitorizan las redes SCADA. Está diseñado para ejecutarse desde una red industrial, lo que permite al atacante observar y controlar los dispositivos Triconex Safety Instrumented System (SIS). Los expertos de la UNIT71 by ITS SECURITY a través de una investigación en uno de sus clientes obtuvieron las evidencias de un archivo malicioso (trilog.exe) en una estación de trabajo y descubrieron que los atacantes utilizaron ese programa para intentar escribir nuevo firmware en la memoria de los dispositivos SIS. El firmware del dispositivo está diseñado para actualizarse de forma remota. Una tecla física en la parte frontal del dispositivo le permite al usuario cambiar entre un modo PROGRAMA, donde las modificaciones están permitidas, también está el modo EJECUTAR que solo permite el modo lectura. Los atacantes utilizaron esta capacidad para engañar a los usuarios a ejecutar el modo PROGRAMA. TRITON ¿Qué es y en qué consiste?
  • 4. www.its-security.es ¿Qué dispositivos fueron atacados por el malware TRITON? Triton atacó a Triconex Main Processors, modelo 3008. Estos sistemas de monitorización de seguridad fueron aprobados para su uso por la Comisión de Regulación Nuclear de los Estados Unidos en 2012. TRITON ¿Qué ataca TRITON y qué impacto tiene? ¿Qué impacto tiene? Tritón parece estar diseñado para ser utilizado de forma muy selectiva, lo que significa que es posible que los atacantes se centren en un objetivo específico o en un pequeño número de objetivos. Sin embargo, se aconseja a los usuarios de dispositivos SIS que revisen la seguridad operativa y sigan las mejores prácticas del fabricante, como garantizar que los sistemas de seguridad se implementen en redes aisladas y que ninguna persona no autorizada tenga acceso a los dispositivos SIS.
  • 5. www.its-security.es ¿Los atacantes necesitaron aplicar ingeniería inversa? Los atacantes no necesariamente hicieron ingeniería inversa de los dispositivos. La Comisión Reguladora Nuclear de los EE. UU. mantiene copias de las guías de programación y manuales de comunicaciones en uso en el momento de su aprobación. El apéndice D documenta el protocolo TSAA (TriStation), incluido el comando WRITE_TRICON_DATA que según nuestras investigaciones utilizaron este protocolo para la realización del ataque dado que el protocolo es simple y no tiene autenticación. La única faceta de seguridad que proporciona es un CRC por mensaje. TRITON ¿Se necesita ingeniería inversa?
  • 6. www.its-security.es ¿Cómo fue el ataque de TRITON? Según nuestra investigación el atacante implementó TRITON poco después de obtener acceso al sistema SIS, lo que indica que habían precompilado y probado la herramienta que requeriría acceso a hardware y software. TRITON también está diseñado para comunicarse utilizando el protocolo patentado de TriStation que no está documentado públicamente, lo que sugiere que el adversario ha diseñado de forma independiente este protocolo. TRITON ¿Cómo fue el ataque?
  • 7. www.its-security.es Características más importantes de TRITON ▪ TRITON se diseñó para ser ejecutado en una estación de trabajo de ingeniería SIS que ejecuta el sistema operativo Microsoft Windows. ▪ El malware fue renombrado para hacerse pasar por la aplicación legítima Triconex Trilog. Esta aplicación se utiliza para revisar registros y es parte del paquete de aplicaciones de TriStation. ▪ El malware se compone de un ejecutable (Python compilado Py2EXE) que depende de un archivo comprimido que contiene bibliotecas estándar de Python, bibliotecas de código abierto, así como el framework Triconex desarrollado por el atacante para interactuar con los controladores Triconex. TRITON ¿Características?
  • 8. www.its-security.es Características más importantes de TRITON ▪ Junto con el ejecutable, se implementaron dos archivos binarios, inject.bin (código de función maliciosa) e imain.bin (lógica de control malicioso). Estos archivos fueron desarrollados en Python compilado con Py2EXE. ▪ TsHi es la interfaz de alto nivel creada por los autores del malware que permite interactuar a los atacantes. ▪ TsBase, otro módulo escrito por los atacantes y contiene las funciones llamadas por TsHi y permite enviar los comandos de forma empaquetada y formateada para su reconocimiento del protocolo. ▪ TsLow es un módulo atacante adicional que implementa el protocolo de cableado TriStation por UDP. TRITON ¿Características?
  • 9. ¿Cómo hacer frente a estas amenazas? Desde ITS Security podemos ayudarte www.its-security.es marketing@its-security.es
  • 10. ITS | GIPUZKOA (CENTRAL) Polígono Kurutz Gain Números 12-13 20850 Mendaro (Gipuzkoa) Tfn.: 902 102 655 ITS | MADRID Parque científico de Madrid Calle Faraday 7 28049 Cantoblanco (Madrid) Tfn.: 902 102 655 ITS | BIZKAIA Parque Tecnológico de Zamudio Laga Bidea, Edif. 804 – Módulo 301 48160 Derio (Bizkaia) Tfn.: 902 102 655 ITS | NAVARRA Polígono la estrella Berroa 19 31192 Tajonar (Navarra) Tfn.: 902 102 655 ITS | A CORUÑA Polígono Industrial Pocomaco (Abanca Innova)Parcela C 10 15190 A Coruña (Galicia) Tfn.: 902 102 655 www.its-security.es marketing@its-security.es