olieraffinaderij
News 10 april 2019

FireEye: 'TRITON-malware opnieuw opgedoken'

Er is opnieuw een cyberaanval gepleegd door de actoren achter TRITON, de malware die eind 2017 de kritische infrastructuur van een grote industriële centrale heeft platgelegd. Dat meldt FireEye vandaag op de eigen website. Het cybersecuritybedrijf heeft de aanval op een nieuwe locatie verholpen en was in 2017 ook de partij om de initiële aanval met TRITON-malware te analyseren, nadat een olieraffinaderij in Saudie-Arabië werd platgelegd.

We schreven eerder vandaag over het cyberspionageplatform TajMahal, een nieuw ontdekt netwerk met functionaliteiten die nooit eerder zijn waargenomen bij geavanceerde dreigingen. Het bericht deelden we ook op de FERM-Twitter, waar we vanuit de achterban gewezen werden op een publicatie rond nieuwe inzichten in de strategie van de cyberactoren achter de TRITON malware, nadat er opnieuw een aanval op kritische infrastructuur heeft plaatsgevonden. We delen dat bericht en de beschikbare informatie van FireEye bij dezen ook. Volgens het securitybedrijf hebben de aanvallers bij het jongste incident met TRITON maar liefst een jaar gewacht voordat ze zich dieper in het netwerk manoeuvreerden, om meer over het netwerk te leren en te ontdekken hoe ze van het systeem naar het andere konden gaan.

TRITON-malware

In december 2017 publiceerde FireEye een eerste analyse van de TRITON-aanval, nadat kwaadwillende actoren het TRITON-aanvalskader gebruikten om industriële veiligheidssystemen in een kritieke infrastructuur te manipuleren en daarmee onbedoeld een processtilstand veroorzaakten. In vervolgonderzoek werd bekeken hoe deze aanvallers toegang hebben gekregen tot de kritieke onderdelen die nodig zijn om het TRITON-aanvalskader op te bouwen. De inbraakactiviteit die tot de inzet van TRITON heeft geleid, is toegeschreven aan een technisch onderzoeksinstituut van de Russische regering in Moskou. Sinds de opkomst van TRITON wordt ook regelmatig de naam TRISES gebruikt, waarmee dezelfde malware wordt bedoeld.

         LEES OOK: 'TRITON is the world's most murderous malware, and it's spreading' (MIT Technology Review)

De TRITON-penetratie is evenwel gehuld in mysterie. Er is weliswaar publieke discussie geweest rond het raamwerk en de daadwerkelijke impact ervan op de doellocatie, maar er is weinig tot geen informatie gedeeld over tactiek, technieken en procedures (TTP's) met betrekking tot de levenscyclus, of hoe de aanval erin geslaagd is om de industriële processen te beïnvloeden. Het TRITON-raamwerk zelf en de intrusion tools die de actor gebruikte, werden gebouwd en ingezet door mensen, die allemaal waarneembare menselijke strategieën, voorkeuren en conventies hadden voor de custom tooling van de operatie. Het team van FireEye heeft zich als doel gesteld om deze methoden te bespreken en te benadrukken hoe de ontwikkelaar(s), operator(s) en anderen die betrokken waren bij de inbraak precies gebruik maakten van deze tools.

TRITON: Indicators of Compromise en meer

FireEye heeft daarom het onderzoek naar de activiteiten van de actor achter TRITON voortgezet, met een specifieke focus op een selectie van aangepaste IT-tools en -tactieken die de dreigingsactor in de vroege stadia van de beoogde aanvalslevenscyclus heeft ingezet. De informatie in de analyse is afgeleid van meerdere TRITON-gerelateerde incidentresponses die door FireEye Mandiant zijn uitgevoerd.

Kijk voor het uitgebreide TRITON Actor TTP Profile en praktische informatie zoals tools, methodiek, indicators of compromise en meer op de website van FireEye. Onderstaande video's geven meer informatie over de originele Triton-aanval eind 2017, waarbij de kritische infrastructuur van een Saudische raffinaderij serieuze operationele ontwrichting ondervond.

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK