Die hoch gefährlichen 'Triton' Hacker haben das US-Gitter untersucht

Autor: Andy Greenberg
Andy Greenberg
Sicherheit
06.14.19
07:00 sind
Die hoch gefährlichen 'Triton' Hacker haben das US-Gitter untersucht

George Rose/Getty Abbildungen
Auf der Skala von Sicherheitsdrohungen könnte es sein, dass Hacker, die potentielle Ziele nach Verwundbarkeiten durchsuchen, ziemlich tief einzuordnen scheinen. Aber, wenn es dieselben Hacker sind, die zuvor eines von leichtsinnigsten cyberattacks in der Geschichte eins ausführten, hätte das leicht zerstörerisch oder sogar tödlich werden können-diese Aufklärung hat eine mehr Vorahnungskante.
 Besonders wenn das Ziel von ihr durchsuchen ist das US-Stromnetz.

Über der Vergangenheit mehrere Monate, Effektenberater in dem elektrischen gemeinsamen Informationsnutzungs- und Analysezentrum (E ISAC) und der kritische Infrastruktursicherheitsfirma Dragos haben eine Gruppe von hoch entwickelten Hackern verfolgt, die breite Suchen von Dutzenden ausführen, von US-Stromnetz zielt ab anscheinend Eintrittsstellen in ihre Netze suchen. Durchsuchen allein kaum stellt eine ernste Drohung dar. Aber diese Hacker als Xenotim oder manchmal als der Tritonschauspieler gekannt nach ihrer Unterschrift malware-haben eine besonders dunkle Geschichte. Der Triton malware wurde dafür entworfen, die so genannten Sicherheitsinstrumentensysteme an Saudiölraffinerie Petro Rabigh in einer 2017 unfähig zu machen, cyberattack, mit dem scheinbaren Ziel lähmender Ausrüstung, die für undichte Stellen, Explosionen überwacht oder andere katastrophale physische Ereignisse. Dragos hat Xenotim "leicht gefährlichste Drohungsaktivität, die öffentlich bekannt ist," genannt

Es gibt kein Zeichen, dass die Hacker irgendwo sind, nahe eine Stromunterbrechung auszulösen, - zu erwähnen keinen gefährlichen physischen Zufall-in den USA. Aber die bloße Tatsache, dass solch eine notorisch aggressive Gruppe ihre Sehenswürdigkeiten auf dem US-Gitter gedreht hat, verdient Aufmerksamkeit, sagt Joe Slowik, ein Sicherheitsforscher bei Dragos, das sich auf Gewerbeaufsichtssysteme, und wer Xenotim verfolgt hat konzentriert.

Xenotim hat die Netze von mindestens 20 verschiedenen US-elektrischen Anlagezielen untersucht.
"Xenotim hat sich schon als bereit erwiesen, nicht nur innerhalb einer industriellen Umgebung zu handeln, außer es in einer ziemlich betreffenden Art zu tun, Sicherheitssysteme für potentielle Anlageunterbrechung und an Minimum richten, das Risiko akzeptierend, dass Unterbrechung zu materiellem Schaden und sogar Schaden an Personen führen konnte " Slowik sagte, dass telegraphierte. Die Suchen des US-Gitters der Xenotim, fügt er hinzu, stellen Anfangsbabyschritte in Richtung diese gleiche Art von zerstörerischer Sabotage zu amerikanischer Erde zu bringen dar. "Was betrifft mich ist, dass die Taten, die beobachtet sind, um zu datieren, für die vorläufigen Taten, von denen verlangt sind, dass sie hart auf für eine zukünftige Störung und potentiell einen zukünftigen Angriff werden, bezeichnend sind."

Entsprechend Dragos hat Xenotim die Netze von mindestens 20 verschiedenen US-elektrischen Anlagezielen untersucht, jedes Element des Gitters von Energiegewinnung einzuschließen, pflanzt zu Übertragungsbahnhöfen zu Verteilungsbahnhöfen. Ihr durchsuchen erstreckte sich davon, nach entfernten Anmeldungstoren dazu zu suchen, Netze für verwundbare Merkmale zu scheuern, wie die fehlerhafte Version des im vom NSA im Jahr 2017 durchgesickerten ewigen traurigen trocken hustenden Werkzeug ausgenutzten Servernachrichtenblocks. "Es ist eine Kombination, weiter die Tür anzustoßen und ein Paar Türknäufe zu versuchen, jed hin und wieder," sagt Slowik.

Während nur Dragos vom neuen Abzielen in früher 2019 erfuhr, verfolgte es die Aktivität zurück zu Mitte -2018 im Wesentlichen durch Sichansehen von den Netzprotokollen der Ziele. Dragos sah, wie die Hacker auch ebenso die Netze einer "Hand voll" von Stromnetzvermittlungen in der Asien Pazifik-Region durchsuchten. Früher in 2018, Dragos hatte berichtet, dass es sah, wie Xenotim ein Dutzend etwa einhalb richtete, Nordamerikaneröl- und Gasziele. Diese Aktivität bestand im Wesentlichen aus derselben Art von eher kürzlich gesehenen Untersuchungen, aber in einigen Fällen schloss sie auch Versuche ein, die Bestätigung jener Netze zu knacken.

Während jene Fälle kumulativ eine entnervende Diversifikation von den Interessen der Xenotim darstellen, sagt Dragos, dass das nur in einer kleinen Anzahl von Vorfällen die Hacker tatsächlich machte, gefährden das Zielnetz, und jene Fälle traten in den Öl und Gas der Xenotim ein, die anstatt seinen neueren Gitteruntersuchungen abzielten. Sogar dann erreichten sie entsprechend Dragos' Analyse nie es, ihre Kontrolle auszudehnen von, das sie vernetzen zu den viel mehr empfindlichen Gewerbeaufsichtssystemen, eine Voraussetzung dafür, direkt physisches Chaos wie ein Spannungsausfall zu verursachen oder Tritonstil malware zu pflanzen.

An Kontrast in seinem 2017 Angriff auf Saudi-Arabiens Petro Rabigh Raffinerie, Xenotim gewann nicht nur Zugang zum Gewerbeaufsichtssystemnetzwerk der Gesellschaft, aber nutzte eine sicherheitsausgeführte Verwundbarkeit im elektrisch Triconex gemachten Schneider aus Systeme, die sie verwendete diese Schutzausrüstung im Grunde genommen k.o. schlagen. Die Sabotage hätte der Vorgänger sein dazu können, einen schweren physischen Unfall zu verursachen. Glücklicherweise lösten die Hacker stattdessen eine Notabschaltung vom Werk aus-anscheinend durch Zufall-ohne noch schwerwiegendere physische Folgen.

Ob Xenotim diese Art von Tritonstilsabotage gegen das US-Gitter versuchen würde, ist weit aufklaren. Viele der Opfer, die sie in letzter Zeit gerichtet hat, verwenden keine sicherheitsausgeführten Systeme, obwohl manche jene physischen Sicherheitssysteme verwenden, um Gang wie Erzeugungsturbinen entsprechend Dragos'Slowik zu schützen. Und Gittervermittlungen verwenden weithin andere digitale Schutzausrüstung wie Schutzrelais, welches überwachen für überladen oder aus-von-synchrone Gitterausrüstung, um Unfälle zu verhindern.

Andy Greenberg ist ein verdrahteter Sicherheitsschriftsteller und Autor der Neuerscheinung Sandworm: Eine neue Ära von Cyberwar und die Suche nach den gefährlichsten Hackern des Kremls.

Dragos sagt, dass es von der neuen abzielenden Aktivität der Xenotim im Wesentlichen von ihren Kunden und anderen Industriemitgliedern hörte, die Information mit der Gesellschaft teilen. Aber die neuen Befunde kamen aufgrund einer anscheinend versehentlichen undichten Stelle ins öffentliche Licht in Teil: E ISAC, ein Teil der North American Electric Reliability Corporation gab eine Darstellung ab März auf ihrer Website eines Dragos und E ISAC Berichts über die Aktivität der Xenotim heraus, die ein Diapositiv enthielt, das einen Screenshot zeigte. Der Bericht bemerkt, dass Dragos Xenotim wahrnahm gegen nordamerikanische Gitterziele "die Aufklärung und potentielle Anfangszugangsoperationen ausführt", und es bemerkt, dass das E ISAC "ähnliche Aktivitätsinformation von Elektrizitätsindustriemitgliedern und Regierungspartnern verfolgte", E ISAC antwortete nicht zu telegraphierte erbitten für weiteren Kommentar.

Dragos ist davor zurückgescheut, jedes Land zu benennen, das hinter den Angriffen der Xenotim sein könnte. Trotz Anfangsspekulation, dass der Iran für den Tritonangriff auf Saudi-Arabien verantwortlich war, zeigte Sicherheitsfirma FireEye im Jahr 2018 auf forensische Verbindungen zwischen dem Petro Rabigh Angriff und einem Moskau Forschungsinstitut, das zentrale wissenschaftliche Forschungsinstitut von Chemie und Mechanik. Wenn Xenotim in der Tat ein Russisch oder Russlandgeförderte Gruppen ist, wäre sie weit entfernt von den nur russischen Hackern, um das Gitter zu richten. Es wird geglaubt, dass die als Sandworm bekannt russische stumpfsinnigere Gruppe für Angriffe auf ukrainische Energieversorgungsunternehmen in 2015 und 2016, die Strom auf Hunderttausende reduzieren, von Menschen verantwortlich ist, die einzigen Spannungsausfälle, die bestätigt sind, um von Hackern ausgelöst worden zu sein. Und die Heimatschutzabteilung warnte letztes Jahr, dass eine als Kohlpalmenverschmelzung oder Libelle 2,0 bekannt russische Gruppe Zugang zu den tatsächlichen Regelungssystemen von amerikanischen Stromversorgungseinrichtungen gewonnen hatte, sie viel näher dazu bringen, einen Spannungsausfall zu verursachen, als Xenotim bisher bekommen hat.

Nichtsdestoweniger FireEye, das einfallende Antwort für den 2017 Petro Rabigh Angriff und einen anderen Bruch von denselben Hackern ausführte, stützt Dragos' Einschätzung, dass das neue Richten des US-Gitters der Xenotim eine sich bemühende Entwicklung ist. "Durchsuchen ist beunruhigend," sagt John Hultquist, FireEyes Direktor über Drohungsintelligenz. "Durchsuchen ist der erste Schritt in einer langen Serie. Aber er schlägt Interesse an dieser Stelle vor. Er ist nicht so Besorgnis erregend, wenn er ihr Tritonimplantat so tatsächlich auf US-kritische Infrastruktur fallen lässt. Aber er ist etwas, das wir bestimmt ein Auge weiter behalten wollen und verfolgen."

Über gerade die Bedrohung für das US-Gitter zeigt Dragos Vizepräsident der Drohungsintelligenz, den Sergio Caltagirone behauptet, dass Xenotim ausgedehnt und abgezielt hat, wie staatsgeförderte stumpfsinnigere Gruppen in ihren Angriffen ehrgeiziger werden. Solche Gruppen sind nicht nur in Nummer, sondern auch im Umfang ihrer Aktivitäten gewachsen, sagt er. "Xenotim ist von Öl und Gas davon nach Nordamerika in frühe 2018 gesprungen, rein im Nahen Osten zu laufen, zum elektrischen Gitter in Nordamerika in Mitte -2018. Wir sehen Ausbreitung über Sektoren und Geographie. Und diese Drohungsausbreitung ist die gefährlichste Sache in Cyberspace."

https://www.wired.com/story/triton-hackers-scan-us-power-grid/