Schneider Exec on Why Triton Malware still Matters

지난해 신비한 사이버 공격자 그룹이 악성 코드 캠페인을 시작했습니다. 그 이후로 중동의 한 시설에서 안전 정지 시스템을 방해하기 위해 Triton 또는 Trisis로 알려지게 되었습니다. 2017년 11월 중순에 사이버 보안 회사 Dragos가 발견한 Triton 멀웨어는 치명적인 피해를 입힐 수 있으며 잠재적으로 인명 손실과 광범위한 오염을 유발할 수 있습니다. 그러나 이 멀웨어는 의도하지 않게 Triconex 안전 시스템의 긴급 시스템 종료 절차를 실행하여 억제하려고 하여 발견으로 이어졌기 때문에 목적을 달성하지 못했습니다.

따라서 Triton은 현대 산업 조직이 직면한 사이버 보안 위협에 대한 실질적인 경고가 되었습니다. Dragos 기사에 따르면 Dragos가 Xenotime이라고 부르는 이 공격의 배후에 있는 해커 집단은 계속해서 "잠재적이고 미래에 파괴적이거나 심지어 파괴적인 사건을 일으킬" 가능성이 높습니다. 사이버 회사는 이 가능성에 대해 "보통의 확신"을 갖고 있다고 밝혔으며, 또한 공격이 다른 사이버 범죄자들에게 전반적으로 안전 계측 시스템을 표적으로 삼는 청사진을 제공한다고 언급했습니다.

해커에 의해 장비가 손상된 일부 제조업체는 해커로부터 이러한 공격을 무시하거나 무시하거나 숨기려고 했습니다. 공개적으로 슈나이더 일렉트릭은 반대 접근 방식을 취했습니다. 회사의 사이버 보안 및 시스템 아키텍처 이사인 Andrew Kling은 "우리는 어느 정도의 투명성이 필요하다는 것을 알고 있었습니다."라고 말했습니다. “공격의 본질을 파악한 후 우리는 이 공격의 고유성과 이러한 공격의 심각성을 깨달았습니다. 우리는 이것이 전체 산업에 대한 행동 촉구가 될 것이라는 점을 확실히 알고 있었습니다.”라고 최근에 Triton 이후 1년:업계 전반의 사이버 회복력 구축이라는 제목의 기사를 쓴 Kling이 말했습니다.

[ IoT 보안 서밋 는 클라우드에서 에지, 하드웨어에 이르기까지 전체 IoT 스택을 보호하는 방법을 배우는 컨퍼런스입니다. 지금 티켓을 받으세요. ]

Triton이 대부분의 맬웨어와 다른 점은 특히 산업 제어 시스템을 대상으로 하는 소수의 맬웨어 유형 중 하나이며 안전 계장 시스템을 대상으로 하는 최초의 알려진 맬웨어라는 점입니다. Kling은 "이것은 제품의 이전 레거시 버전이 공격을 받은 일회성 사건이 아니라 누군가가 목표를 달성하기 위해 안전 시스템을 공격하는 것이 필요하다고 느낀 일종의 공격이었습니다."라고 말했습니다. "그리고 모래에 머리를 묻으려는 것은 단순히 용납될 수 없는 행동이었습니다."

업계 사람들이 어느 정도 알고 있다고 생각하십니까 Triton 멀웨어 산업 안전 시스템에 대한 공격의 광범위한 위협은 무엇입니까?

앤드류 클링 :좋은 질문입니다. 사이버 보안 전문가로서 100% 절대적이어야 한다고 생각합니다. 모두가 즉시 일어나 상황을 해결하기 위한 조치를 취해야 합니다.

우리는 Triconex 제품 라인의 고객을 위해 멀웨어 탐지 서비스를 실행해 왔습니다. 우리는 이러한 Triconex 안전 컨트롤러를 얼마나 많이 생산했는지 알고 있습니다. 우리는 이 맬웨어가 이러한 장치에 있는지 감지하는 방법을 알고 있습니다. 그리고 우리는 이 서비스를 모든 고객에게 제공했습니다. 이제 많은 고객이 기기에 맬웨어가 있는지 감지하기 위해 우리와 협력하고 있으며 다른 사이트와의 추가 손상 지표는 없습니다. 그러나 이것이 고객에게 중요한 서비스라고 믿기 때문에 프로그램을 계속 실행할 것입니다. 독특하다는 점도 지적하고 싶다. 제가 알기로는 이런 안전장치에서 직접 악성코드를 탐지하는 서비스는 처음입니다.

이 위협에 대해 업계를 교육하는 데 Schneider Electric이 어떤 역할을 한다고 생각하십니까?

클링: 이것은 고객이 일어서서 "이봐, 우리가 우리의 프로세스 제어 시스템과 비즈니스 시스템에 주의를 기울이는 것만큼 우리의 안전 시스템에도 주의를 기울여야 합니다."라고 말하는 것이 아니라 행동을 촉구하는 것입니다. 그러나 이는 서비스 제공업체, 네트워크 제공업체 및 우리와 같은 OEM에 대한 행동 촉구입니다.

저는 다른 회사의 동료들과 교류하는 표준 위원회에 속해 있으며 이것이 그들과 관련이 있다는 데 동의합니다. 슈나이더 일렉트릭은 이 고객이 공격을 받았을 때 현장에 있던 안전 시스템이었기 때문에 표적이 되었지만 우리의 경쟁자 중 하나가 될 수 있었습니다. 그들은 우리가 투명하다는 사실을 고맙게 생각하며 공격이 어떻게 발생했으며 이 공격에서 이 특정 고객에 대해 어떤 기술을 사용했는지 설명하고 있습니다.

이 시점에서 공격 배후의 공격자에 대해 얼마나 알고 있습니까?

클링: 아마 저만큼 많이 아실 것입니다.

귀인에 관한 한, 우리는 그것이 누구인지에 대해 거의 알지 못합니다. 국가에 대한 많은 추측과 언론이 있었습니다. 최근에 기술이 원래 생각했던 것보다 낮을 것이라고 추측하는 한 악성 코드 회사가 있습니다. 공격자가 누구인지는 모르지만 사소하지 않은 특정 기술이 필요하다는 것은 알고 있습니다. 공격자는 이와 같은 안전 시스템이 작동하는 방식과 관련된 프로세서 및 프로토콜을 이해해야 합니다. 이 공격에서 프로세스 제어 시스템과 마찬가지로 분산 제어 시스템이 손상되었습니다. 이것들은 모두 일반적으로 찾을 수 없는 기술입니다. 누군가는 이 공격을 수행하기 위해 이러한 기술을 습득할 상당한 동기가 있어야 했습니다.

그러면 공격자가 이러한 종류의 기계에 대한 경험이 좁았을 가능성이 있습니까?
네, 아니면 폭넓은 지능을 가지고 있고 빠르게 적응할 수 있었습니다.

추측이지만 장비가 있었을 가능성이 큽니다. 그러나 그들의 맬웨어에는 여러 버그가 있었습니다. 실제로 맬웨어가 수행해야 하는 작업을 파악하기 위해 수정해야 했던 버그입니다. 이러한 버그 중 하나가 발생하면 안전 시스템이 작동을 멈춥니다. 시스템은 해야 할 일을 했고, 우리가 생각했던 것만큼 장비가 많지 않을 수도 있다는 지표였습니다. 그리고 그들은 이 사이트를 이용해 악성코드를 개발하고 있었습니다.

우리는 악성코드가 메모리에 설치된 RAT라는 것을 알고 있습니다. 그들은 읽기-쓰기-실행 기능을 가지고 있었지만 우리는 실제로 그 RAT에 설치할 최종 페이로드를 복구하지 못했습니까?

시설에 대한 사이버 위험이 우려되지만 시설을 보호할 때 최우선 순위가 무엇인지 확실하지 않은 산업 조직에 대해 어떤 조언을 하시겠습니까?

이는 전 세계 정부가 고객들에게 지금 언론에 보도하도록 요청받은 방식에 따른 질문입니다.

그리고 답이 있습니다. ISA99 작업 그룹의 일원으로서 우리는 IEC 62443 사이버 보안 표준을 생성합니다. 이것은 구성 요소에서 네트워크, 시스템, 시스템 전달, 시스템 유지 관리에 이르기까지 안전한 프로세스 제어 시스템이 무엇인지 설명하는 부품 제품군입니다. 따라서 "나는 내 공장을 위한 새로운 안전 시스템이나 새로운 공정 제어 시스템을 구매하기 위해 입찰을 하고 있습니다."라고 말하려는 고객이라면 입찰 사양에서 먼저 말해야 합니다. 귀하의 제품은 이 표준에 대한 인증을 받아야 합니다. 산업 자동화 제어 시스템 공간에 보안이 의미하는 바를 정의하기 위해 이 표준에 쏟아부은 전 세계 전문가들의 수백 년의 시간이 있습니다. 그곳에서 수행된 모든 작업을 활용하고 해당 표준을 준수하는 제품을 찾아야 합니다. 그들은 그것을 준수하는 제품과 이를 준수하는 시스템 및 이를 준수하는 배송 조직을 찾아야 합니다. 그리고 이것이 그들이 현장을 이해하기 위해 사이버 보안 분야의 박사 학위가 되지 않아도 되는 방법입니다. 대신 표준에 마음과 영혼을 쏟아 부은 박사 학위를 활용할 수 있습니다.

미국 정부가 NCCIC/ICS-CERT에서 생산하는 문서도 있습니다. 우리는 표준에 대해 그 사람들과 협력합니다. OT 사이버 보안 커뮤니티는 긴밀한 커뮤니티입니다. 우리는 서로를 알고 정기적으로 협력합니다.