Den mänskliga faktorn var den svagaste länken i Triton/Trisis attacken

–Vår studie visar att ett bredare säkerhetsperspektiv idag är ett måste, även på lägre nivåer av industriella styrsystem. Oskar Lindh och Alma Eriksson, två studenter på Elektroteknik, KTH  som gjort sitt kandidatexjobb om cyber- attacken som brukar kallas Triton/Trisis. Foto: privat –Vår studie visar att ett bredare säkerhetsperspektiv idag är ett måste, även på lägre nivåer av industriella styrsystem. Oskar Lindh och Alma Eriksson, två studenter på Elektroteknik, KTH som gjort sitt kandidatexjobb om cyber- attacken som brukar kallas Triton/Trisis. Foto: privat

En kväll 2017 kallades specialister från Schneider Electric in till det gigantiska oljeraffinaderiet Petro Rabigh i Saudiarabien. Säkerhetssystemet i anläggningen hade gjort att en del av komplexet stängt ner och specialisterna skulle bedöma en styrenhet för säkerhetssystemet. Slutsatsen var att styrenheten fungerade normalt. En månad senare utlöstes två nödstopp. Systemen stängde ner en ännu större del av raffinaderiet. Incidenten identifierades som en mycket sofistikerad cyberattack. Attacken blev känd som Triton/Trisis och är ny i sitt slag. Vad angriparens slutgiltiga mål var är fortfarande okänt men de skulle kunnat orsaka mänsklig skada. Angriparen fortsätter idag med attacker mot det amerikanska energisystemet.
Vi är två studenter på Elektroteknik, kth som har sammanställt information om denna cyberattack. Vår studie visar att den skadliga kod som implementerades i flertalet säkerhetsstyrenheter var skräddarsydd men stegen för att nå det industriella säkerhetssystemet var till stor del möjliga genom vanligt förekommande hackerverktyg. I fallet Triton/Trisis finns spår som tyder på att angriparen varit inne i miljön redan 2014. De tog sig in med så kallade nätfiske- och vattenhålsattacker (två olika sätt att angripa en it miljö) utnyttjade en felkonfigurerad brandvägg för att upprätta rdp-tunnlar för att till slut implementera en rat (Remote access trojan) i styrenheten. Delar av källkoden för rat:en har publicerats på Github.
rat:en var utvecklad i isolerad miljö vilket gjorde den svårupptäckt. Genom att analysera vpn- och rdp-trafik i nätverket skulle avvikelser kunna ha identifierats, vilket inte skedde på Petro Rabigh. Våra analyser visar att rutiner och processer för säkerheten tummades på, troligen för att raffinaderiet inte ansågs vara särskilt utsatt. Då ingen kunde ana att en seriös attack kunde komma ur ett till synes harmlöst nätfiske hade den mänskliga faktorn stor betydelse i fallet.
I en tid av iot när inte säkerhetstänket hängt med i utvecklingen kan detta få förödande konsekvenser, på raffinaderiet fick det en stor ekonomisk påföljd.
Vår studie visar att ett bredare säkerhetsperspektiv idag är ett måste, även på lägre nivåer av industriella styrsystem. En rutinmässig analys av it-trafik kan leda till tidigare upptäckt, men även kunskapen om att en enskild användare kan utsättas för en delattack är viktig. Ett kapat konto ska inte möjliggöra för angriparen att infiltrera hela miljön. I riskanalyser för systemen behöver cyberhot finnas med på alla nivåer i arkitekturen och nätverken konfigureras utifrån strikta regler. Offentliga och privata aktörer behöver här samarbeta då ett försvar måste bli billigare än ett angrepp för att övervinna hotet.
Oskar Lindh och Alma Eriksson

Automation E-mail:automation@vtf.se
Publicerad 2020-08-24 08:19:20