SolarSecurity Aug 24 2021 at 09:07

Как вредонос Trisis может парализовать целый завод, и есть ли шанс от него защититься

13 min

5.2K

Солар corporate blogInformation Security*

+10

Comments 5

Fredp Aug 24 2021 at 10:04

Очень интересно, спасибо. Stuxnet - был первой ласточкой, вот и Шнайдер взломали.

На счёт архитектуры ПАЗ - я бы поспорил. В моем опыте ПАЗ реализована непосредственно а контроллерах управления, так что никаких сетевых экранов или низкоуровневых интерфейсов не может быть применено в принципе.

А как противостоять таким атакам, тема не раскрыта. Это все понятно, что следить за безопасностью, читать логи и т.д. Но это уже следствие. А как бороться с причиной, с тем что никто не задумывается о необходимости таких действий...

vesper-bot Aug 24 2021 at 11:02

Это атаки совершенно разного уровня. Stuxnet пролез через обновления прошивки, подписанные вендором оборудования, здесь имеем многоуровневую, но обычную атаку на эшелонированную сеть под виндами, плюс конкретный эксплойт на уязвимость нулевого дня в ПЛК цели (а на подобных железках обновление firmware после стартовой настройки — редкость сама по себе).

Как противостоять таким атакам — ну например, не доводить до самой атаки на ПЛК/ПАЗ, отлавливая попытки проникновения на этапе влезания в сеть (есть уже NGFW, умеющие определять атакующие паттерны), поднимать алерты на доступ через RDP на критичные узлы сети, лучше всего на уровне сетевого оборудования (т.е. если получен пакет с флагом SYN dst.ip=XXXX dst.port=3389, кинуть трап в заббикс или ещё куда), не выпускать 53 порт наружу кроме как с DNS-сервера (ему положено), ещё наверно с десяток идей можно найти, но главное — на это всё реагировать адекватным образом.

Fredp Aug 24 2021 at 11:13

Ошибаетесь: stuxnet инфицировал среду разработки, а загружал прошивку все же инженер. Другой вопрос что тот инженер принес вредонос на флешке, а тут загрузили по сети.

А мероприятия противодействия, которые вы описали - не обязательные, не входят в стандарты, поэтому, происходит то что описано в статье. Может, внести из в 61508, или какие то другие стандарты? А может, существуют стандарты информационной безопасности на производствах???

freemanon Aug 24 2021 at 13:54

Почему-то про атрибуцию Triton ни слова.

SolarSecurity Aug 24 2021 at 16:23

Мы можем судить об атаке Trisis по отчету FireEye. Последние связывали хакерскую группировку, которая стоит за Trisis/Triton, с российским НИИ. Но обсуждать атрибуцию атаки, когда не видел семплов ВПО, крайне сложно и не очень правильно.
В посте речь все-таки о том, как защититься от угрозы, а откуда она исходит – это тема отдельного исследования.