FireEye ha rilevato un nuovo attacco a un’infrastruttura critica a opera dell’autore di TRITON dietro il quale, secondo gli analisti dell’intelligence-led security company, si cela un istituto di ricerca tecnica con sede a Mosca di proprietà del governo russo.
Dopo aver pubblicato una prima analisi sull’attacco di TRITON nel dicembre 2017 volto a manipolare i sistemi di sicurezza industriale causando l’arresto dei processi produttivi, FireEye ha rilevato come siano state poco o nulle le informazioni condivise sulle tattiche, le tecniche e le procedure (TTP) relative al ciclo di vita dell’intrusione.
Addirittura, a quanto sembra, non si avrebbero nemmeno dati utili a comprendere come l’attacco sia potuto arrivare così in profondità, per poi colpire i processi industriali.
Ma tant’è. Come già spiegato pocanzi, il team di incident responder di Mandiant, società di FireEye, ha scoperto recentemente ulteriori attività di attacco in un’altra infrastruttura critica, sempre da parte di chi ha progettato TRITON identificando, inoltre, altri tool sviluppati ad hoc.
Poche semplici regole per i proprietari di ICS
A seguito di questa rilevazione, FireEye mette in allarme e incoraggia i proprietari di sistemi di controllo industriale (ICS) a usare gli Indicatori di Compromissione e ad analizzare le Tecniche Tattiche e Procedure (TTP) di attacco di TRITON per aumentare le difese e verificare possibili incidenti in corso nelle proprie reti.
La tecnologia SmartVision di FireEye, permette di identificare i Movimenti Laterali effettuati dagli attaccanti, monitorando tutto il traffico est-ovest sia nelle reti IT sia nelle reti OT, aiutando a ridurre il rischio che un attacco raggiunga i sistemi critici come quelli ICS.
Questo è particolarmente importante per le intrusioni sofisticate legate agli ICS, in quanto gli attaccanti si spostano tipicamente dalle reti IT aziendali a quelle OT, attraverso sistemi che sono accessibili a entrambi gli ambienti, bypassando quindi le difese perimetrali.
Sulla base delle analisi dei tool di attacco sviluppati ad hoc, è stato possibile dedurre che il gruppo che ha sviluppato TRITON è operativo sin dal 2014. Antecedentemente a questa data, FireEye non aveva mai avuto modo di rilevare nessuno di questi tool utilizzati per TRITON, nonostante molti di questi risalgano a diversi anni prima rispetto alla prima compromissione avvenuta.
Da qui il suggerimento a chi deve difendere dei sistemi informatici o a chi deve rispondere degli incidenti di prestare attenzione ai sistemi denominati di “conduit” (i passaggi tra le diverse zone delle reti) per poter identificare e bloccare gli attacchi verso i sistemi ICS.
