SlideShare una empresa de Scribd logo
La Nueva Ciberamenaza
Contra Entornos IndustrialesTRITON
Informe Técnico elaborado por UNIT71 by ITS Security. Copyright 2018.
www.its-security.es
El equipo de ITS detecta un nuevo
malware que ataca a Entornos
Industriales
Un fallo de diseño en dispositivos Triconex permite tomar el
control del dispositivo por medio de un malware de nombre
TRITON.
El equipo de investigadores de la UNIT71 perteneciente al SOC de ITS,
informan sobre el descubrimiento de un nuevo malware de nombre
TRITON cuyo destino es atacar las redes industriales.
TRITON
Nuevo Malware en
Entornos Industriales
www.its-security.es
¿Qué es y en qué consiste este
nuevo malware industrial?
Tritón es un nuevo malware dirigido a los sistemas de seguridad
que monitorizan las redes SCADA.
Está diseñado para ejecutarse desde una red industrial, lo que permite
al atacante observar y controlar los dispositivos Triconex Safety
Instrumented System (SIS).
Los expertos de la UNIT71 by ITS SECURITY a través de una
investigación en uno de sus clientes obtuvieron las evidencias de un
archivo malicioso (trilog.exe) en una estación de trabajo y
descubrieron que los atacantes utilizaron ese programa para intentar
escribir nuevo firmware en la memoria de los dispositivos SIS.
El firmware del dispositivo está diseñado para actualizarse de forma
remota. Una tecla física en la parte frontal del dispositivo le permite al
usuario cambiar entre un modo PROGRAMA, donde las modificaciones
están permitidas, también está el modo EJECUTAR que solo permite el
modo lectura. Los atacantes utilizaron esta capacidad para engañar a
los usuarios a ejecutar el modo PROGRAMA.
TRITON
¿Qué es y
en qué consiste?
www.its-security.es
¿Qué dispositivos fueron
atacados por el malware TRITON?
Triton atacó a Triconex Main Processors, modelo 3008.
Estos sistemas de monitorización de seguridad fueron aprobados para
su uso por la Comisión de Regulación Nuclear de los Estados Unidos
en 2012.
TRITON
¿Qué ataca TRITON y
qué impacto tiene?
¿Qué impacto tiene?
Tritón parece estar diseñado para ser utilizado de forma muy
selectiva, lo que significa que es posible que los atacantes se centren
en un objetivo específico o en un pequeño número de objetivos.
Sin embargo, se aconseja a los usuarios de dispositivos SIS que
revisen la seguridad operativa y sigan las mejores prácticas del
fabricante, como garantizar que los sistemas de seguridad se
implementen en redes aisladas y que ninguna persona no autorizada
tenga acceso a los dispositivos SIS.
www.its-security.es
¿Los atacantes necesitaron aplicar
ingeniería inversa?
Los atacantes no necesariamente hicieron ingeniería inversa
de los dispositivos.
La Comisión Reguladora Nuclear de los EE. UU. mantiene copias de las
guías de programación y manuales de comunicaciones en uso en el
momento de su aprobación.
El apéndice D documenta el protocolo TSAA (TriStation), incluido el
comando WRITE_TRICON_DATA que según nuestras investigaciones
utilizaron este protocolo para la realización del ataque dado que el
protocolo es simple y no tiene autenticación. La única faceta de
seguridad que proporciona es un CRC por mensaje.
TRITON
¿Se necesita
ingeniería inversa?
www.its-security.es
¿Cómo fue el ataque de TRITON?
Según nuestra investigación el atacante implementó TRITON
poco después de obtener acceso al sistema SIS, lo que indica
que habían precompilado y probado la herramienta que
requeriría acceso a hardware y software.
TRITON también está diseñado para comunicarse utilizando el
protocolo patentado de TriStation que no está documentado
públicamente, lo que sugiere que el adversario ha diseñado de forma
independiente este protocolo.
TRITON
¿Cómo fue el
ataque?
www.its-security.es
Características más importantes
de TRITON
▪ TRITON se diseñó para ser ejecutado en una estación de trabajo
de ingeniería SIS que ejecuta el sistema operativo Microsoft
Windows.
▪ El malware fue renombrado para hacerse pasar por la aplicación
legítima Triconex Trilog. Esta aplicación se utiliza para revisar
registros y es parte del paquete de aplicaciones de TriStation.
▪ El malware se compone de un ejecutable (Python compilado
Py2EXE) que depende de un archivo comprimido que contiene
bibliotecas estándar de Python, bibliotecas de código abierto, así
como el framework Triconex desarrollado por el atacante para
interactuar con los controladores Triconex.
TRITON
¿Características?
www.its-security.es
Características más importantes
de TRITON
▪ Junto con el ejecutable, se implementaron dos archivos
binarios, inject.bin (código de función maliciosa) e imain.bin
(lógica de control malicioso). Estos archivos fueron desarrollados
en Python compilado con Py2EXE.
▪ TsHi es la interfaz de alto nivel creada por los autores del
malware que permite interactuar a los atacantes.
▪ TsBase, otro módulo escrito por los atacantes y contiene las
funciones llamadas por TsHi y permite enviar los comandos de
forma empaquetada y formateada para su reconocimiento del
protocolo.
▪ TsLow es un módulo atacante adicional que implementa el
protocolo de cableado TriStation por UDP.
TRITON
¿Características?
¿Cómo hacer frente a estas amenazas?
Desde ITS Security podemos ayudarte
www.its-security.es
marketing@its-security.es
ITS | GIPUZKOA (CENTRAL)
Polígono Kurutz Gain
Números 12-13
20850 Mendaro
(Gipuzkoa)
Tfn.: 902 102 655
ITS | MADRID
Parque científico de Madrid
Calle Faraday 7
28049 Cantoblanco
(Madrid)
Tfn.: 902 102 655
ITS | BIZKAIA
Parque Tecnológico de Zamudio
Laga Bidea, Edif. 804 – Módulo 301
48160 Derio
(Bizkaia)
Tfn.: 902 102 655
ITS | NAVARRA
Polígono la estrella
Berroa 19
31192 Tajonar
(Navarra)
Tfn.: 902 102 655
ITS | A CORUÑA
Polígono Industrial Pocomaco
(Abanca Innova)Parcela C 10
15190 A Coruña
(Galicia)
Tfn.: 902 102 655
www.its-security.es
marketing@its-security.es

Más contenido relacionado

La actualidad más candente

Presentacion de antivirus
Presentacion de antivirusPresentacion de antivirus
Presentacion de antivirus
potersitosoc
 
Diapositivas tic-6
Diapositivas tic-6Diapositivas tic-6
Diapositivas tic-6
mayranimosso
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
Emilio Casbas
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
Marlon López
 
Antivirus
AntivirusAntivirus
Antivirus
aylinmunguia
 
Colegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatanColegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatan
Carlos Gutierrez
 
Introducción
IntroducciónIntroducción

La actualidad más candente (7)

Presentacion de antivirus
Presentacion de antivirusPresentacion de antivirus
Presentacion de antivirus
 
Diapositivas tic-6
Diapositivas tic-6Diapositivas tic-6
Diapositivas tic-6
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Colegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatanColegio nacional técnica del estado de yucatan
Colegio nacional técnica del estado de yucatan
 
Introducción
IntroducciónIntroducción
Introducción
 

Similar a ITS Security - Triton, nuevo malware industrial

ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
Diego Torres
 
Proteccion y seguridad
Proteccion y seguridadProteccion y seguridad
Proteccion y seguridad
FATIMA CENTENO HURTADO
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
JESÚS GUERRA
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
arthurLeav
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
arthurLeav
 
Seguridad informatica 01
Seguridad informatica 01Seguridad informatica 01
Seguridad informatica 01
Uniandes
 
Sunu
SunuSunu
Sunu
J Lds
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
J Lds
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
hmitre17
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n  segundo parcialReactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n  segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Leonel Ibarra
 
8. seguridad informatica paty
8. seguridad informatica paty8. seguridad informatica paty
8. seguridad informatica paty
PatriciaPasiche
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
Danianny Verónica Senju
 
Septima U
Septima USeptima U
Septima U
SistemOper
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
johanna mc gee
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario roman
mariosk8love
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
Richard J. Nuñez
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
AndoniSanchez4
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
AndoniSanchez4
 
Trabajo de julio
Trabajo de julioTrabajo de julio
Trabajo de julio
Julio Raphael Gonzales
 

Similar a ITS Security - Triton, nuevo malware industrial (20)

ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
 
Proteccion y seguridad
Proteccion y seguridadProteccion y seguridad
Proteccion y seguridad
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Seguridad informatica 01
Seguridad informatica 01Seguridad informatica 01
Seguridad informatica 01
 
Sunu
SunuSunu
Sunu
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n  segundo parcialReactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n  segundo parcial
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
 
8. seguridad informatica paty
8. seguridad informatica paty8. seguridad informatica paty
8. seguridad informatica paty
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
 
Septima U
Septima USeptima U
Septima U
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario roman
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Trabajo de julio
Trabajo de julioTrabajo de julio
Trabajo de julio
 

Más de ITS SECURITY

ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS SECURITY
 
ITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPDITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPD
ITS SECURITY
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS SECURITY
 
ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019
ITS SECURITY
 
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS SECURITY
 
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS SECURITY
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper]  Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper]  Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
ITS SECURITY
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
ITS SECURITY
 

Más de ITS SECURITY (8)

ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
 
ITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPDITS Security - 10 consejos para cumplir con el RGPD
ITS Security - 10 consejos para cumplir con el RGPD
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
 
ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019
 
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
 
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper]  Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper]  Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
 

Último

herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0  2024herramientas de sitio web 3.0  2024
herramientas de sitio web 3.0 2024
julio05042006
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
Manuel Diaz
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
sofiahuarancabellido
 
Tecnología 5G Presentación.pdf trabajo .
Tecnología 5G Presentación.pdf trabajo .Tecnología 5G Presentación.pdf trabajo .
Tecnología 5G Presentación.pdf trabajo .
asrielgamer3421
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC  por Cecilia Pozos S..pptxEl uso de las TIC  por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 

Último (20)

herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0  2024herramientas de sitio web 3.0  2024
herramientas de sitio web 3.0 2024
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
 
Tecnología 5G Presentación.pdf trabajo .
Tecnología 5G Presentación.pdf trabajo .Tecnología 5G Presentación.pdf trabajo .
Tecnología 5G Presentación.pdf trabajo .
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC  por Cecilia Pozos S..pptxEl uso de las TIC  por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 

ITS Security - Triton, nuevo malware industrial

  • 1. La Nueva Ciberamenaza Contra Entornos IndustrialesTRITON Informe Técnico elaborado por UNIT71 by ITS Security. Copyright 2018.
  • 2. www.its-security.es El equipo de ITS detecta un nuevo malware que ataca a Entornos Industriales Un fallo de diseño en dispositivos Triconex permite tomar el control del dispositivo por medio de un malware de nombre TRITON. El equipo de investigadores de la UNIT71 perteneciente al SOC de ITS, informan sobre el descubrimiento de un nuevo malware de nombre TRITON cuyo destino es atacar las redes industriales. TRITON Nuevo Malware en Entornos Industriales
  • 3. www.its-security.es ¿Qué es y en qué consiste este nuevo malware industrial? Tritón es un nuevo malware dirigido a los sistemas de seguridad que monitorizan las redes SCADA. Está diseñado para ejecutarse desde una red industrial, lo que permite al atacante observar y controlar los dispositivos Triconex Safety Instrumented System (SIS). Los expertos de la UNIT71 by ITS SECURITY a través de una investigación en uno de sus clientes obtuvieron las evidencias de un archivo malicioso (trilog.exe) en una estación de trabajo y descubrieron que los atacantes utilizaron ese programa para intentar escribir nuevo firmware en la memoria de los dispositivos SIS. El firmware del dispositivo está diseñado para actualizarse de forma remota. Una tecla física en la parte frontal del dispositivo le permite al usuario cambiar entre un modo PROGRAMA, donde las modificaciones están permitidas, también está el modo EJECUTAR que solo permite el modo lectura. Los atacantes utilizaron esta capacidad para engañar a los usuarios a ejecutar el modo PROGRAMA. TRITON ¿Qué es y en qué consiste?
  • 4. www.its-security.es ¿Qué dispositivos fueron atacados por el malware TRITON? Triton atacó a Triconex Main Processors, modelo 3008. Estos sistemas de monitorización de seguridad fueron aprobados para su uso por la Comisión de Regulación Nuclear de los Estados Unidos en 2012. TRITON ¿Qué ataca TRITON y qué impacto tiene? ¿Qué impacto tiene? Tritón parece estar diseñado para ser utilizado de forma muy selectiva, lo que significa que es posible que los atacantes se centren en un objetivo específico o en un pequeño número de objetivos. Sin embargo, se aconseja a los usuarios de dispositivos SIS que revisen la seguridad operativa y sigan las mejores prácticas del fabricante, como garantizar que los sistemas de seguridad se implementen en redes aisladas y que ninguna persona no autorizada tenga acceso a los dispositivos SIS.
  • 5. www.its-security.es ¿Los atacantes necesitaron aplicar ingeniería inversa? Los atacantes no necesariamente hicieron ingeniería inversa de los dispositivos. La Comisión Reguladora Nuclear de los EE. UU. mantiene copias de las guías de programación y manuales de comunicaciones en uso en el momento de su aprobación. El apéndice D documenta el protocolo TSAA (TriStation), incluido el comando WRITE_TRICON_DATA que según nuestras investigaciones utilizaron este protocolo para la realización del ataque dado que el protocolo es simple y no tiene autenticación. La única faceta de seguridad que proporciona es un CRC por mensaje. TRITON ¿Se necesita ingeniería inversa?
  • 6. www.its-security.es ¿Cómo fue el ataque de TRITON? Según nuestra investigación el atacante implementó TRITON poco después de obtener acceso al sistema SIS, lo que indica que habían precompilado y probado la herramienta que requeriría acceso a hardware y software. TRITON también está diseñado para comunicarse utilizando el protocolo patentado de TriStation que no está documentado públicamente, lo que sugiere que el adversario ha diseñado de forma independiente este protocolo. TRITON ¿Cómo fue el ataque?
  • 7. www.its-security.es Características más importantes de TRITON ▪ TRITON se diseñó para ser ejecutado en una estación de trabajo de ingeniería SIS que ejecuta el sistema operativo Microsoft Windows. ▪ El malware fue renombrado para hacerse pasar por la aplicación legítima Triconex Trilog. Esta aplicación se utiliza para revisar registros y es parte del paquete de aplicaciones de TriStation. ▪ El malware se compone de un ejecutable (Python compilado Py2EXE) que depende de un archivo comprimido que contiene bibliotecas estándar de Python, bibliotecas de código abierto, así como el framework Triconex desarrollado por el atacante para interactuar con los controladores Triconex. TRITON ¿Características?
  • 8. www.its-security.es Características más importantes de TRITON ▪ Junto con el ejecutable, se implementaron dos archivos binarios, inject.bin (código de función maliciosa) e imain.bin (lógica de control malicioso). Estos archivos fueron desarrollados en Python compilado con Py2EXE. ▪ TsHi es la interfaz de alto nivel creada por los autores del malware que permite interactuar a los atacantes. ▪ TsBase, otro módulo escrito por los atacantes y contiene las funciones llamadas por TsHi y permite enviar los comandos de forma empaquetada y formateada para su reconocimiento del protocolo. ▪ TsLow es un módulo atacante adicional que implementa el protocolo de cableado TriStation por UDP. TRITON ¿Características?
  • 9. ¿Cómo hacer frente a estas amenazas? Desde ITS Security podemos ayudarte www.its-security.es marketing@its-security.es
  • 10. ITS | GIPUZKOA (CENTRAL) Polígono Kurutz Gain Números 12-13 20850 Mendaro (Gipuzkoa) Tfn.: 902 102 655 ITS | MADRID Parque científico de Madrid Calle Faraday 7 28049 Cantoblanco (Madrid) Tfn.: 902 102 655 ITS | BIZKAIA Parque Tecnológico de Zamudio Laga Bidea, Edif. 804 – Módulo 301 48160 Derio (Bizkaia) Tfn.: 902 102 655 ITS | NAVARRA Polígono la estrella Berroa 19 31192 Tajonar (Navarra) Tfn.: 902 102 655 ITS | A CORUÑA Polígono Industrial Pocomaco (Abanca Innova)Parcela C 10 15190 A Coruña (Galicia) Tfn.: 902 102 655 www.its-security.es marketing@its-security.es