اختلال عملیاتی در زیرساخت های حیاتی با بدافزار TRITON

سیستم کنترل فرآیند صنعتی و سیستم‌های اتوماسیون صنعتی به انواع مختلفی از سیستم‌های کنترل و عملکرد ایمنی متکی هستند. این سیستم‌ها و توابع اغلب به‌عنوان سیستم‌های کنترل صنعتی (ICS) یا فناوری عملیاتی (OT) نامیده می‌شوند.
یک سیستم کنترل توزیع (DCS)، اپراتورهای انسانی را قادر می‌سازد تا از یک فرایند صنعتی نظارت و کنترل دقیق داشته باشند. این‌یک سیستم کنترل کامپیوتری است که شامل کامپیوترها، برنامه‌های کاربردی و کنترل‌کننده‌ها است. یک ایستگاه کاری مهندسی، رایانه‌ای است که برای تنظیم، نگهداری و تشخیص برنامه‌های کاربردی سیستم کنترل و دیگر تجهیزات سیستم کنترل استفاده می‌شود.
SIS یک سیستم کنترل مستقیم فرایند است که به‌طور مستقل فرایندهای موردنظر را کنترل می‌کند. این در حالی است که در صورت تغییر در خروجی فرایندهای موردنظر فیلترهای کنترلی را اجرا کرده و روند ایمن‌سازی سیستم را اجرا می‌کند. در این میان در صورت عدم اقدام سیستم SIS و سیستم‌های دفاعی سامانه DCS خط نهایی دفاع که در تأسیسات صنعتی قرار دارد کنترل صورت می‌گیرد این کنترل با استفاده از حفاظت مکانیکی، آلارم های فیزیکی، روش‌های پاسخ اضطراری و سایر مکانیزم هایی برای کاهش این حملات استفاده می‌کند.
کاربران از روش‌های مختلفی برای برقراری ارتباط DCS کارخانه خود با SIS استفاده می‌کنند. در این میان رویکرد سنتی براساس اصول جداسازی برای زیرساخت‌های ارتباطی و استراتژی‌های کنترلی متکی است.

سیستم‌های ایمنی و حمله

نحوه فعالیت و چرخه انجام حمله مانند تمام سایبری است با این تفاوت‌ها که اول مأموریت مهاجم این است که تمام فرایندهای عملیاتی را متلاشی کند تا به اطلاعات موردنظر دست‌یافته و سرقت را انجام دهد. دوم، مهاجم باید اطلاعات شناسایی OT را انجام داده و دانش کافی مهندسی را جهت درک فرایند صنعتی داشته باشد تا فعالیت‌های پیش رو را با موفقیت اجرا کند.
شکل ۲ نشان‌دهنده ارتباط بین امنیت سایبری و کنترل ایمنی در محیط کنترلی را نشان می‌دهد که در صورت ناکام بودن اقدامات سایبری کنترل ایمنی برای جلوگیری از آسیب فیزیکی طراحی‌شده است. در این میان برای به حداکثر رساندن تأثیر فیزیکی، یک مهاجم اینترنتی نیز باید از کنترل‌های ایمنی جلوگیری کند.
مدل تهدید SIS نام‌برده برخی از گزینه‌های موجود برای مهاجم است که با موفقیت از ایجاد اختلال در سیستم موردنظر نشان می‌دهد.
•    مهاجم قادر به برنامه‌ریزی مجدد SIS خواهد بود با استفاده از این اقدام می‌تواند به ارسال اطلاعات کاذب اقدام کند.
•    راه‌اندازی سیستم پس از ایجاد اختلال بسیار هزینه‌بر خواهد بود.
•    مهاجم می‌تواند منطق SIS را مجدداً برنامه‌ریزی کند تا شرایط نامساعدی را حفظ کند.
•    افزایش خطر ابتلا به یک وضعیت خطرناک به علت از دست دادن قابلیت‌های SIS باعث عواقب جسمی (مثلاً تأثیر تجهیزات، محصول، محیط‌زیست و ایمنی انسان) می‌شود.
•    مهاجم می‌تواند این فرایند را از حالت DCS در حالت ناامن دست‌کاری کند، درحالی‌که مانع از دسترسی SIS به‌طور مناسب می‌شود.
•    تأثیر بر سلامت انسان، محیط‌زیست و یا آسیب به تجهیزات که میزان آن بستگی به محدودیت‌های فیزیکی فرآیند و طراحی کارخانه دارد.

تجزیه تحلیل هدف مهاجم
نتایج حاصله نشان می‌دهد مهاجم هدف اصلی خود را ایجاد اختلال فیزیکی در سامانه می‌داند. و این مبنا را مدنظر قرار می‌دهیم که پس از ایجاد فرایندهای موردنظر در سامانه قادر به ایجاد اختلال در سیستم شود. این در حالی است که اقدامات صورت گرفته باعث ایجاد اختلال در هر دو سیستم DCS و SIS خواهد شد که حداکثر آسیب‌های فیزیکی را به سیستم می‌تواند وارد کند.
هنگامی‌که مهاجم در شبکه SIS با استفاده از حمله TRITON و پروتکل ارتباطی TriStation استفاده می‌کند که در این میان مهاجم قادر به انجام دستور خاتمه فرایند کنترلی در سامانه را صادر کند.

خلاصه‌ای از قابلیت‌های بدافزار
ابزار حمله TRITON با تعدادی از ویژگی‌ها، ازجمله توانایی خواندن و نوشتن برنامه‌ها، خواندن و نوشتن توابع خاص و پرس‌وجو از وضعیت کنترل‌کننده SIS ساخته‌شده است. بااین‌حال، تنها برخی از این قابلیت‌ها در نمونه trilog.exe قابل‌استفاده بودند.
بدافزار مذکور توانایی برقراری ارتباط با کنترل‌کننده‌های Triconex SIS را داشته (به‌عنوان‌مثال ارسال دستورات خاص مانند توقف یا خواندن محتوای حافظه آن) که از راه دور امکان‌پذیر است که با استفاده از این قابلیت از راه دور تمام سامانه را برنامه‌ریزی کرده و فعالیت مخرب خود را ایجاد می‌کند.
توصیه‌ها
کاربرانی که مایل به دفاع در برابر این حمله هستند باید کنترل‌های زیر را برای ایجاد سامانه هر چه‌بهتر در نظر بگیرند.
•    تا جایی که امکان‌پذیر است شبکه‌های فنی را از شبکه‌های سیستم کنترل صنعتی و کنترل اطلاعات جدا کرده.
•    در کنترل‌کننده‌هایTriconex، کلیدها نباید در حالت PROGRAM به‌غیراز رویدادهای برنامه‌ریزی‌شده باقی بمانند.
•    اجرای رویه‌های مدیریتی برای تغییر در موقعیت کلید.
•    برای هر برنامه کاربردی که به داده‌های ارائه‌شده توسط SIS بستگی دارد، از یک دروازه یک‌طرفه به‌جای اتصال دوطرفه استفاده کنید.
•    پیاده‌سازی کنترل دسترسی سخت‌افزاری و سفارشی کردن نرم‌افزار در هر نقطه‌ی سرور یا ایستگاه کاری که می‌تواند سیستم SIS را بر روی TCP / IP برساند.
•    نظارت بر ترافیک شبکه کنترل صنعتی برای جلوگیری از اقدامات پیش رو.

تجزیه‌وتحلیل فنی
 

TRITON در یک ایستگاه کاری مهندسی SIS در حال اجرا سیستم‌عامل ویندوز مایکروسافت مستقر شد. بدافزار به‌عنوان یک برنامه مشروع Triconex Trilog به‌عنوان مظنون شناخته شد. این برنامه برای بررسی سیاهه‌های مربوط استفاده می‌شود و بخشی از مجموعه برنامه TriStation است. این بدافزار به‌عنوان یک اسکریپت پایتون کامپایلر شده Py2EXE بسته به یک فایل زیپ که حاوی کتابخانه‌های متن‌باز با استفاده از استاندارد Python و همچنین چارچوب حمله Triconex برای حمله با کنترل‌کنندگان Triconex است. در این میان با اجرای دو فایل باینری inject.bin (کد عملکرد مخرب) و imain.bin (منطق کنترل مخرب)، به‌عنوان loadloader کنترل سامانه را به دست گرفته این در حالی است که فایل‌های موردنظر در اسکریپت پایتون کامپایلر شده Py2EXE قرارگرفته است.
Trilog.exe یکی از گزینه‌های خط فرمان را انتخاب کرد که یک آدرس IP منحصربه‌فرد دستگاه Triconex است. این قابلیت توانایی کشف کتابخانه TRITON را برای شناسایی دستگاه Triconex ندارد، در عوض نمونه‌ای از trilog.exe باید به‌طور جداگانه برای هر کنترل‌کننده در محیط مورداستفاده هدف قرار گیرد؛ و پس از فراخوانی trilog.exe وضعیت کنترل‌کننده را موردبررسی قرار می‌دهد و اطلاعات پیکربندی موردنظر توسط پروتکل TriStation نمایش داده می‌شود. درصورتی‌که کنترل‌کننده در حال اجرا باشد trilog.exe دو فایل injject.bin و imain.bin را رمزگذاری کرد و آن‌ها را به کتابخانه‌های ارتباطی منتقل می‌کند تا به حافظه برنامه و جدول اجرای آن کنترل شوند.
پس از بارگذاری پرونده‌ها در کنترلر، Triconex به حافظه وارد شده و اسکریپت شمارش معکوس را آغاز می‌کند که به‌طور دوره‌ای وضعیت کنترل‌کننده را بررسی می‌کند. لذا در این میان در صورت شناسایی یک خطا با استفاده از روش SafeAppendProgramMod کتابخانه مرکزی را با استفاده از دستور پروتکل TriStation تنظیم مجدد می‌کند. در صورت اجرا نشدن این کار trilog.exe یک برنامه ساختگی را جهت کنترل حافظه به سیستم ارسال می‌کند. کارشناسان معتقدند که این اقدامات فعالیت بدافزار را در سیستم Triconex نمایش نمی‌دهد.
TRITON پروتکل TriStation را اجرا می‌کند که پروتکل مورداستفاده نرم‌افزار TriStation است و برای پیکربندی کنترل‌کننده‌ها استفاده می‌شود.
TsHi رابط سطح بالا ایجادشده توسط مهاجمان است که اجازه اجرای دستورات به سیستم را می‌دهد که مهاجم اسکریپت‌های موردنظر را در چارچوب بدافزار TRITON اجرا کند. از ای توابع برای شناسایی حمله توزیع‌شده استفاده می‌شود. این توابع به‌طورکلی داده‌های باینری را از کاربر دریافت کرده و مسئولیت رسیدگی به کدهای موردنظر را به عهده می‌گیرند.
TsBase، یکی دیگر از ماژول‌های بدافزار است که شامل توابع استفاده‌شده توسط TsHi است که عملیات موردنظر مهاجم را به کد تابع پروتکل مناسب TriStation ترجمه می‌کند و برای بعضی از توابع اطلاعات را در فرمت مناسب بسته و قرار می‌دهد.
TsLow یک ماژول مهاجم اضافی است که پیاده‌سازی پروتکل SIP TriStation UDP را بر عهده دارد. کتابخانه TsBase در درجه اول به روش ts_exec بستگی دارد در این روش، کد تابع و کد موردنظر را در بر می‌گیرد و دستورالعمل‌های بارگیری را از طریق UDP ارسال می‌کند. این پاسخ را در مقایسه با مقدار مورد انتظار بررسی می‌کند و یک ساختار اطلاعات از نتیجه مورد را نشان می‌دهد که نشان‌دهنده موفقیت یا شکست فعالیت انجام‌شده است.
TsLow روش اتصال به کنترل‌کننده هدف را نمایش دهد که در صورت نداشتن هدف تابع detect_ip شناسایی‌شده در دستگاه را اجرا می‌کند.