Triton es un nuevo malware dirigido a sistemas de seguridad industriales que monitorean redes SCADA. Ataqué dispositivos Triconex Safety Instrumented System 3008 al escribir nuevo firmware de forma remota a través de un fallo de diseño. El objetivo parece ser ataques muy selectivos para causar daños significativos.

1. La Nueva Ciberamenaza
Contra Entornos IndustrialesTRITON
Informe Técnico elaborado por UNIT71 by ITS Security. Copyright 2018.

2. www.its-security.es
El equipo de ITS detecta un nuevo
malware que ataca a Entornos
Industriales
Un fallo de diseño en dispositivos Triconex permite tomar el
control del dispositivo por medio de un malware de nombre
TRITON.
El equipo de investigadores de la UNIT71 perteneciente al SOC de ITS,
informan sobre el descubrimiento de un nuevo malware de nombre
TRITON cuyo destino es atacar las redes industriales.
TRITON
Nuevo Malware en
Entornos Industriales

3. www.its-security.es
¿Qué es y en qué consiste este
nuevo malware industrial?
Tritón es un nuevo malware dirigido a los sistemas de seguridad
que monitorizan las redes SCADA.
Está diseñado para ejecutarse desde una red industrial, lo que permite
al atacante observar y controlar los dispositivos Triconex Safety
Instrumented System (SIS).
Los expertos de la UNIT71 by ITS SECURITY a través de una
investigación en uno de sus clientes obtuvieron las evidencias de un
archivo malicioso (trilog.exe) en una estación de trabajo y
descubrieron que los atacantes utilizaron ese programa para intentar
escribir nuevo firmware en la memoria de los dispositivos SIS.
El firmware del dispositivo está diseñado para actualizarse de forma
remota. Una tecla física en la parte frontal del dispositivo le permite al
usuario cambiar entre un modo PROGRAMA, donde las modificaciones
están permitidas, también está el modo EJECUTAR que solo permite el
modo lectura. Los atacantes utilizaron esta capacidad para engañar a
los usuarios a ejecutar el modo PROGRAMA.
TRITON
¿Qué es y
en qué consiste?

4. www.its-security.es
¿Qué dispositivos fueron
atacados por el malware TRITON?
Triton atacó a Triconex Main Processors, modelo 3008.
Estos sistemas de monitorización de seguridad fueron aprobados para
su uso por la Comisión de Regulación Nuclear de los Estados Unidos
en 2012.
TRITON
¿Qué ataca TRITON y
qué impacto tiene?
¿Qué impacto tiene?
Tritón parece estar diseñado para ser utilizado de forma muy
selectiva, lo que significa que es posible que los atacantes se centren
en un objetivo específico o en un pequeño número de objetivos.
Sin embargo, se aconseja a los usuarios de dispositivos SIS que
revisen la seguridad operativa y sigan las mejores prácticas del
fabricante, como garantizar que los sistemas de seguridad se
implementen en redes aisladas y que ninguna persona no autorizada
tenga acceso a los dispositivos SIS.

5. www.its-security.es
¿Los atacantes necesitaron aplicar
ingeniería inversa?
Los atacantes no necesariamente hicieron ingeniería inversa
de los dispositivos.
La Comisión Reguladora Nuclear de los EE. UU. mantiene copias de las
guías de programación y manuales de comunicaciones en uso en el
momento de su aprobación.
El apéndice D documenta el protocolo TSAA (TriStation), incluido el
comando WRITE_TRICON_DATA que según nuestras investigaciones
utilizaron este protocolo para la realización del ataque dado que el
protocolo es simple y no tiene autenticación. La única faceta de
seguridad que proporciona es un CRC por mensaje.
TRITON
¿Se necesita
ingeniería inversa?

6. www.its-security.es
¿Cómo fue el ataque de TRITON?
Según nuestra investigación el atacante implementó TRITON
poco después de obtener acceso al sistema SIS, lo que indica
que habían precompilado y probado la herramienta que
requeriría acceso a hardware y software.
TRITON también está diseñado para comunicarse utilizando el
protocolo patentado de TriStation que no está documentado
públicamente, lo que sugiere que el adversario ha diseñado de forma
independiente este protocolo.
TRITON
¿Cómo fue el
ataque?

7. www.its-security.es
Características más importantes
de TRITON
▪ TRITON se diseñó para ser ejecutado en una estación de trabajo
de ingeniería SIS que ejecuta el sistema operativo Microsoft
Windows.
▪ El malware fue renombrado para hacerse pasar por la aplicación
legítima Triconex Trilog. Esta aplicación se utiliza para revisar
registros y es parte del paquete de aplicaciones de TriStation.
▪ El malware se compone de un ejecutable (Python compilado
Py2EXE) que depende de un archivo comprimido que contiene
bibliotecas estándar de Python, bibliotecas de código abierto, así
como el framework Triconex desarrollado por el atacante para
interactuar con los controladores Triconex.
TRITON
¿Características?

8. www.its-security.es
Características más importantes
de TRITON
▪ Junto con el ejecutable, se implementaron dos archivos
binarios, inject.bin (código de función maliciosa) e imain.bin
(lógica de control malicioso). Estos archivos fueron desarrollados
en Python compilado con Py2EXE.
▪ TsHi es la interfaz de alto nivel creada por los autores del
malware que permite interactuar a los atacantes.
▪ TsBase, otro módulo escrito por los atacantes y contiene las
funciones llamadas por TsHi y permite enviar los comandos de
forma empaquetada y formateada para su reconocimiento del
protocolo.
▪ TsLow es un módulo atacante adicional que implementa el
protocolo de cableado TriStation por UDP.
TRITON
¿Características?

9. ¿Cómo hacer frente a estas amenazas?
Desde ITS Security podemos ayudarte
www.its-security.es
marketing@its-security.es

10. ITS | GIPUZKOA (CENTRAL)
Polígono Kurutz Gain
Números 12-13
20850 Mendaro
(Gipuzkoa)
Tfn.: 902 102 655
ITS | MADRID
Parque científico de Madrid
Calle Faraday 7
28049 Cantoblanco
(Madrid)
Tfn.: 902 102 655
ITS | BIZKAIA
Parque Tecnológico de Zamudio
Laga Bidea, Edif. 804 – Módulo 301
48160 Derio
(Bizkaia)
Tfn.: 902 102 655
ITS | NAVARRA
Polígono la estrella
Berroa 19
31192 Tajonar
(Navarra)
Tfn.: 902 102 655
ITS | A CORUÑA
Polígono Industrial Pocomaco
(Abanca Innova)Parcela C 10
15190 A Coruña
(Galicia)
Tfn.: 902 102 655
www.its-security.es
marketing@its-security.es