Investigadores de FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad guiada por inteligencia, identificaron a finales del 2017 el TRITON, también conocido como Trisis, integrante de una familia de malware desarrollada para comprometer los sistemas de control industrial (ICS por sus siglas en inglés).

El descubrimiento fue posible luego del registro de un ataque en el que el virus apagó unas máquinas de una industria, pero el sistema de seguridad alertó a los operadores de que había una falla, lo que derivó en el fracaso de la acción.

Por no haber una clara definición para qué tipo de instalación industrial o incluso en qué país surgió este sofisticado malware, el equipo de prácticas avanzadas de Mandiant, la consultoría en inteligencia del grupo FireEye, se propuso realizar una profunda investigación en las metodologías utilizadas para responder a un ataque.

Durante ese periodo descubrió que los equipos afectados son comúnmente utilizados en instalaciones de petróleo y gas, así como en las de energía nuclear o en fábricas. En líneas generales, TRITON está diseñado para cambiar o incluso desactivar los productos Triconex, conocidos como sistemas de seguridad (SIS, en traducción libre), de la misma manera como los sistemas de control distribuidos, los cuales son comandados por operadores responsables del monitoreo de los procesos.

Dentro de la investigación.- Los autores de amenazas detrás de la estructura de malware TRITON, utilizaron la ingeniería inversa, un profundo estudio del funcionamiento de un dispositivo con un análisis de su estructura, funcionamiento y operación, de un controlador Triconex. A partir de un software legítimo aprendieron su protocolo y desarrollaron un malware adaptado a ese lenguaje.

El conocimiento del autor de la amenaza TRITON y su esfuerzo de ingeniería inversa, proporcionan una mejor comprensión del protocolo, de donde se comienza a formar una imagen más completa y a documentar la funcionalidad básica de TriStation. Es importante resaltar que TriStation es un protocolo de red propietario y no hay documentación pública que detalle su estructura o cómo crear aplicaciones de software que lo utilicen.

En este aspecto, es fundamental evaluar el mensaje del comando de ejecución, que ilustra la estructura general del protocolo. Con él, los autores de las amenazas están aptos para acceder a varias versiones del software y descubrir sus vulnerabilidades.

La teoría inicial de los investigadores de Mandiant era que los autores compraron un controlador y un software Triconex para sus propias pruebas e ingeniería inversa. La segunda hipótesis es que era la versión demo del software, la cual permite una ingeniería inversa suficiente de TriStation para el framework. Otra idea sería el robo de bibliotecas de TriStation Python de empresas, subsidiarias o integradores de sistema ICS, los cuales fueron utilizados para el desarrollo de la base de TriStation y, en consecuencia, del malware TRITON.

Sin embargo, ellos podrían haber tenido prestado el software TriStation o el hardware Triconex y los conectores Python, propiedad del gobierno, o sea, utilizándolos de modo legítimo. Y fue exactamente lo que los autores hicieron: revirtieron el código original para reforzar el desarrollo de la estructura del TRITON.

De esta forma, actúan de manera más inteligente y no más difícil. Pero después de la ingeniería inversa del software legítimo y la implementación de los conceptos básicos de TriStation, los autores todavía tenían una comprensión incompleta del protocolo, lo que posibilitó el descubrimiento de su actuación.

Conclusión.- A través del trabajo de investigación, los investigadores de Mandiant clasificaron como principal motivación el daño físico debido al direccionamiento de seguridad de los controladores de sistema Triconex (SIS).

Se descubrió que el proceso de desarrollo fue más fácil de lo que se pensaba al inicio del análisis. En vista de ello, se espera que otros agentes de amenazas adopten enfoques similares en el desarrollo de herramientas para explorar los sistemas ICS, principalmente cuando los invasores migran de un espacio de TI para OT (tecnología de operación).

La recomendación es, además de seguir monitoreando el comportamiento y acciones de estos grupos, realizar discusiones públicas acerca de las tecnologías de ICS e integrar a los fabricantes con las empresas, para que compartan buenas prácticas y eviten las intrusiones en sus ambientes, afectando las tecnologías dominantes de seguridad industrial.

El reporte completo con los resultados de la investigación está disponible en:

https://www.fireeye.com/blog/threat-research/2018/06/totally-tubular-treatise-on-triton-and-tristation.html