Die hoch gefährlichen 'Triton' Hacker haben das US-Gitter untersucht
Autor: Andy Greenberg
Andy Greenberg
Sicherheit
06.14.19
07:00 sind
Die hoch gefährlichen 'Triton' Hacker haben
das US-Gitter untersucht
George Rose/Getty Abbildungen
Auf der Skala von Sicherheitsdrohungen könnte
es sein, dass Hacker, die potentielle Ziele nach Verwundbarkeiten
durchsuchen, ziemlich tief einzuordnen scheinen. Aber, wenn es dieselben
Hacker sind, die zuvor eines von leichtsinnigsten cyberattacks in der
Geschichte eins ausführten, hätte das leicht zerstörerisch oder sogar
tödlich werden können-diese Aufklärung hat eine mehr Vorahnungskante.
Besonders wenn
das Ziel von ihr durchsuchen ist das US-Stromnetz.
Über der Vergangenheit mehrere Monate,
Effektenberater in dem elektrischen gemeinsamen Informationsnutzungs-
und Analysezentrum (E ISAC) und der kritische
Infrastruktursicherheitsfirma Dragos haben eine Gruppe von hoch
entwickelten Hackern verfolgt, die breite Suchen von Dutzenden
ausführen, von US-Stromnetz zielt ab anscheinend Eintrittsstellen in
ihre Netze suchen. Durchsuchen allein kaum stellt eine ernste Drohung
dar. Aber diese Hacker als Xenotim oder manchmal als der
Tritonschauspieler gekannt nach ihrer Unterschrift malware-haben eine
besonders dunkle Geschichte. Der Triton malware wurde dafür entworfen,
die so genannten Sicherheitsinstrumentensysteme an Saudiölraffinerie
Petro Rabigh in einer 2017 unfähig zu machen, cyberattack, mit dem
scheinbaren Ziel lähmender Ausrüstung, die für undichte Stellen,
Explosionen überwacht oder andere katastrophale physische Ereignisse.
Dragos hat Xenotim "leicht gefährlichste Drohungsaktivität, die
öffentlich bekannt ist," genannt
Es gibt kein Zeichen, dass die Hacker
irgendwo sind, nahe eine Stromunterbrechung auszulösen, - zu erwähnen
keinen gefährlichen physischen Zufall-in den USA. Aber die bloße
Tatsache, dass solch eine notorisch aggressive Gruppe ihre
Sehenswürdigkeiten auf dem US-Gitter gedreht hat, verdient
Aufmerksamkeit, sagt Joe Slowik, ein Sicherheitsforscher bei Dragos, das
sich auf Gewerbeaufsichtssysteme, und wer Xenotim verfolgt hat
konzentriert.
Xenotim hat die Netze von mindestens 20
verschiedenen US-elektrischen Anlagezielen untersucht.
"Xenotim hat sich schon als bereit erwiesen,
nicht nur innerhalb einer industriellen Umgebung zu handeln, außer es in
einer ziemlich betreffenden Art zu tun, Sicherheitssysteme für
potentielle Anlageunterbrechung und an Minimum richten, das Risiko
akzeptierend, dass Unterbrechung zu materiellem Schaden und sogar
Schaden an Personen führen konnte " Slowik sagte, dass telegraphierte.
Die Suchen des US-Gitters der Xenotim, fügt er hinzu, stellen
Anfangsbabyschritte in Richtung diese gleiche Art von zerstörerischer
Sabotage zu amerikanischer Erde zu bringen dar. "Was betrifft mich ist,
dass die Taten, die beobachtet sind, um zu datieren, für die vorläufigen
Taten, von denen verlangt sind, dass sie hart auf für eine zukünftige
Störung und potentiell einen zukünftigen Angriff werden, bezeichnend
sind."
Entsprechend Dragos hat Xenotim die Netze von
mindestens 20 verschiedenen US-elektrischen Anlagezielen untersucht,
jedes Element des Gitters von Energiegewinnung einzuschließen, pflanzt
zu Übertragungsbahnhöfen zu Verteilungsbahnhöfen. Ihr durchsuchen
erstreckte sich davon, nach entfernten Anmeldungstoren dazu zu suchen,
Netze für verwundbare Merkmale zu scheuern, wie die fehlerhafte Version
des im vom NSA im Jahr 2017 durchgesickerten ewigen traurigen trocken
hustenden Werkzeug ausgenutzten Servernachrichtenblocks. "Es ist eine
Kombination, weiter die Tür anzustoßen und ein Paar Türknäufe zu
versuchen, jed hin und wieder," sagt Slowik.
Während nur Dragos vom neuen Abzielen in
früher 2019 erfuhr, verfolgte es die Aktivität zurück zu Mitte -2018 im
Wesentlichen durch Sichansehen von den Netzprotokollen der Ziele. Dragos
sah, wie die Hacker auch ebenso die Netze einer "Hand voll" von
Stromnetzvermittlungen in der Asien Pazifik-Region durchsuchten. Früher
in 2018, Dragos hatte berichtet, dass es sah, wie Xenotim ein Dutzend
etwa einhalb richtete, Nordamerikaneröl- und Gasziele. Diese Aktivität
bestand im Wesentlichen aus derselben Art von eher kürzlich gesehenen
Untersuchungen, aber in einigen Fällen schloss sie auch Versuche ein,
die Bestätigung jener Netze zu knacken.
Während jene Fälle kumulativ eine entnervende
Diversifikation von den Interessen der Xenotim darstellen, sagt Dragos,
dass das nur in einer kleinen Anzahl von Vorfällen die Hacker
tatsächlich machte, gefährden das Zielnetz, und jene Fälle traten in den
Öl und Gas der Xenotim ein, die anstatt seinen neueren
Gitteruntersuchungen abzielten. Sogar dann erreichten sie entsprechend
Dragos' Analyse nie es, ihre Kontrolle auszudehnen von, das sie
vernetzen zu den viel mehr empfindlichen Gewerbeaufsichtssystemen, eine
Voraussetzung dafür, direkt physisches Chaos wie ein Spannungsausfall zu
verursachen oder Tritonstil malware zu pflanzen.
An Kontrast in seinem 2017 Angriff auf
Saudi-Arabiens Petro Rabigh Raffinerie, Xenotim gewann nicht nur Zugang
zum Gewerbeaufsichtssystemnetzwerk der Gesellschaft, aber nutzte eine
sicherheitsausgeführte Verwundbarkeit im elektrisch Triconex gemachten
Schneider aus Systeme, die sie verwendete diese Schutzausrüstung im
Grunde genommen k.o. schlagen. Die Sabotage hätte der Vorgänger sein
dazu können, einen schweren physischen Unfall zu verursachen.
Glücklicherweise lösten die Hacker stattdessen eine Notabschaltung vom
Werk aus-anscheinend durch Zufall-ohne noch schwerwiegendere physische
Folgen.
Ob Xenotim diese Art von Tritonstilsabotage
gegen das US-Gitter versuchen würde, ist weit aufklaren. Viele der
Opfer, die sie in letzter Zeit gerichtet hat, verwenden keine
sicherheitsausgeführten Systeme, obwohl manche jene physischen
Sicherheitssysteme verwenden, um Gang wie Erzeugungsturbinen
entsprechend Dragos'Slowik zu schützen. Und Gittervermittlungen
verwenden weithin andere digitale Schutzausrüstung wie Schutzrelais,
welches überwachen für überladen oder aus-von-synchrone
Gitterausrüstung, um Unfälle zu verhindern.
Andy Greenberg ist ein verdrahteter
Sicherheitsschriftsteller und Autor der Neuerscheinung Sandworm: Eine
neue Ära von Cyberwar und die Suche nach den gefährlichsten Hackern des
Kremls.
Dragos sagt, dass es von der neuen
abzielenden Aktivität der Xenotim im Wesentlichen von ihren Kunden und
anderen Industriemitgliedern hörte, die Information mit der Gesellschaft
teilen. Aber die neuen Befunde kamen aufgrund einer anscheinend
versehentlichen undichten Stelle ins öffentliche Licht in Teil: E ISAC,
ein Teil der North American Electric Reliability Corporation gab eine
Darstellung ab März auf ihrer Website eines Dragos und E ISAC Berichts
über die Aktivität der Xenotim heraus, die ein Diapositiv enthielt, das
einen Screenshot zeigte. Der Bericht bemerkt, dass Dragos Xenotim
wahrnahm gegen nordamerikanische Gitterziele "die Aufklärung und
potentielle Anfangszugangsoperationen ausführt", und es bemerkt, dass
das E ISAC "ähnliche Aktivitätsinformation von
Elektrizitätsindustriemitgliedern und Regierungspartnern verfolgte", E
ISAC antwortete nicht zu telegraphierte erbitten für weiteren Kommentar.
Dragos ist davor zurückgescheut, jedes Land
zu benennen, das hinter den Angriffen der Xenotim sein könnte. Trotz
Anfangsspekulation, dass der Iran für den Tritonangriff auf
Saudi-Arabien verantwortlich war, zeigte Sicherheitsfirma FireEye im
Jahr 2018 auf forensische Verbindungen zwischen dem Petro Rabigh Angriff
und einem Moskau Forschungsinstitut, das zentrale wissenschaftliche
Forschungsinstitut von Chemie und Mechanik. Wenn Xenotim in der Tat ein
Russisch oder Russlandgeförderte Gruppen ist, wäre sie weit entfernt von
den nur russischen Hackern, um das Gitter zu richten. Es wird geglaubt,
dass die als Sandworm bekannt russische stumpfsinnigere Gruppe für
Angriffe auf ukrainische Energieversorgungsunternehmen in 2015 und 2016,
die Strom auf Hunderttausende reduzieren, von Menschen verantwortlich
ist, die einzigen Spannungsausfälle, die bestätigt sind, um von Hackern
ausgelöst worden zu sein. Und die Heimatschutzabteilung warnte letztes
Jahr, dass eine als Kohlpalmenverschmelzung oder Libelle 2,0 bekannt
russische Gruppe Zugang zu den tatsächlichen Regelungssystemen von
amerikanischen Stromversorgungseinrichtungen gewonnen hatte, sie viel
näher dazu bringen, einen Spannungsausfall zu verursachen, als Xenotim
bisher bekommen hat.
Nichtsdestoweniger FireEye, das einfallende
Antwort für den 2017 Petro Rabigh Angriff und einen anderen Bruch von
denselben Hackern ausführte, stützt Dragos' Einschätzung, dass das neue
Richten des US-Gitters der Xenotim eine sich bemühende Entwicklung ist.
"Durchsuchen ist beunruhigend," sagt John Hultquist, FireEyes Direktor
über Drohungsintelligenz. "Durchsuchen ist der erste Schritt in einer
langen Serie. Aber er schlägt Interesse an dieser Stelle vor. Er ist
nicht so Besorgnis erregend, wenn er ihr Tritonimplantat so tatsächlich
auf US-kritische Infrastruktur fallen lässt. Aber er ist etwas, das wir
bestimmt ein Auge weiter behalten wollen und verfolgen."
Über gerade die Bedrohung für das US-Gitter
zeigt Dragos Vizepräsident der Drohungsintelligenz, den Sergio
Caltagirone behauptet, dass Xenotim ausgedehnt und abgezielt hat, wie
staatsgeförderte stumpfsinnigere Gruppen in ihren Angriffen ehrgeiziger
werden. Solche Gruppen sind nicht nur in Nummer, sondern auch im Umfang
ihrer Aktivitäten gewachsen, sagt er. "Xenotim ist von Öl und Gas davon
nach Nordamerika in frühe 2018 gesprungen, rein im Nahen Osten zu
laufen, zum elektrischen Gitter in Nordamerika in Mitte -2018. Wir sehen
Ausbreitung über Sektoren und Geographie. Und diese Drohungsausbreitung
ist die gefährlichste Sache in Cyberspace."
https://www.wired.com/story/triton-hackers-scan-us-power-grid/
1. Ermittlung der Zielobjekte.
2. Analyse des möglichen Angriffobjektes auf
mögliche Abwehrsysteme!
6. Abschätzung der Erfolgs-wahrscheinlichkeit.
7. Testangriff mit möglicherweise finaziellen Forderungen.
6. Abschätzung der Erfolgs-wahrscheinlichkeit.
8. Ultima ratio
der Angriff
mit dem erhofften Erfolg.
9. Die Recherche hat so zu erfolgen, das
seitens des Objektes keine Rückschlüsse gezogen derden könnenWie findet man die Angriffsobjekte ?
Wie findet man die Angriffsobjekte ?
5. Speicherung in die Zieldatei.
5. Speicherung in die Zieldatei.