TEMP.Veles - rosyjska grupa, która zaatakowała systemy bezpieczeństwa ludzi
TEMP.Veles (G0088) - analiza rosyjskiej grupy APT powiązanej z instytutem CNIIHM, odpowiedzialnej za atak TRITON na systemy SIS w saudyjskiej rafinerii.
W katalogu grup zagrożeń MITRE ATT&CK pod oznaczeniem G0088 figuruje podmiot, którego działalność zmusza do zadania fundamentalnego pytania o granice cyberoperacji. Większość grup APT kradnie dane. Niektóre sabotują procesy przemysłowe. TEMP.Veles - bo o tej grupie mowa - jako pierwsza w udokumentowanej historii cyberbezpieczeństwa celowo zaatakowała systemy bezpieczeństwa procesowego (Safety Instrumented Systems), które stanowią ostatnią barierę między kontrolowanym procesem przemysłowym a katastrofą mogącą zabić ludzi.
To nie jest grupa, która szyfruje pliki za okup. To nie jest grupa, która kradnie własność intelektualną. To grupa, która - gdyby jej się powiodło - mogłaby doprowadzić do wybuchu rafinerii.
Kim są TEMP.Veles
TEMP.Veles to oznaczenie nadane przez firmę Mandiant (wówczas FireEye) grupie odpowiedzialnej za opracowanie i wdrożenie malware TRITON - najbardziej niebezpiecznego znanego złośliwego oprogramowania wymierzonego w systemy sterowania przemysłowego. Grupa jest również znana pod nazwą XENOTIME (oznaczenie Dragos).
MITRE ATT&CK kataloguje ją jako G0088, wiążąc z nią następujące oprogramowanie: TRITON (S1009) oraz zestawy narzędzi do penetracji sieci IT i OT.
Kluczowe pytanie brzmiało od początku: kto stoi za TEMP.Veles? Odpowiedź, jaką w październiku 2018 roku przedstawił Mandiant, wskazała na jedno z najbardziej niepokojących powiązań w historii cyberszpiegostwa.
CNIIHM - instytut, który buduje broń i malware
Centralny Naukowo-Badawczy Instytut Chemii i Mechaniki (CNIIHM, ros. ЦНИИХМ) to rosyjski państwowy instytut badawczy zlokalizowany w Moskwie, przy ulicy Nagatinskaja 16a. Oficjalnie instytut zajmuje się “ochroną infrastruktury krytycznej” oraz opracowywaniem broni i sprzętu wojskowego. Podlega Ministerstwu Handlu i Przemysłu Federacji Rosyjskiej.
Mandiant ocenił z wysokim stopniem pewności, że CNIIHM wspierał aktywność intruzyjną prowadzącą do wdrożenia TRITON. Dowody obejmowały kilka niezależnych ścieżek:
Ścieżka PDB. Analiza plików binarnych narzędzi testowych używanych przez TEMP.Veles ujawniła ścieżki PDB (Program Database) zawierające nazwę użytkownika powiązaną z konkretnym badaczem. Osoba ta była aktywna w rosyjskich społecznościach bezpieczeństwa informacyjnego od co najmniej 2011 roku i posiadała powiązania z CNIIHM.
Ścieżka IP. Adres IP zarejestrowany na CNIIHM był wykorzystywany przez TEMP.Veles do wielu celów: monitorowania publicznych doniesień o TRITON, rekonesansu sieciowego oraz wspierania złośliwej aktywności bezpośrednio związanej z intruzją TRITON.
Kompetencje instytucjonalne. CNIIHM posiada wydziały badawcze specjalizujące się w ochronie infrastruktury krytycznej, a jego deklarowana misja obejmuje obszary bezpośrednio związane z wiedzą niezbędną do opracowania TRITON - zrozumienie systemów bezpieczeństwa procesowego, protokołów komunikacyjnych sterowników SIS i architektur sieci przemysłowych.
Reakcja po publikacji. Po opublikowaniu raportu Mandiant w październiku 2018 roku badacze z SecurityWeek udokumentowali pośpieszne usuwanie cyfrowych śladów przez osoby powiązane z CNIIHM - kasowanie profili, modyfikacja stron internetowych. To klasyczna reakcja potwierdzająca trafność atrybucji.
Szczegółową analizę samego malware TRITON - jego architektury, sposobu komunikacji z kontrolerami Triconex i przebiegu ataku w saudyjskiej rafinerii - opisujemy w osobnym artykule: TRITON (TRISIS) - malware, który zaatakował systemy bezpieczeństwa ludzi.
Anatomia operacji TEMP.Veles
Operacja, która doprowadziła do wdrożenia TRITON w saudyjskiej rafinerii petrochemicznej, nie była jednorazowym atakiem. To była wieloletnia, wielofazowa kampania, wymagająca głębokiej wiedzy o systemach przemysłowych.
Faza 1 - Penetracja sieci IT
TEMP.Veles uzyskał początkowy dostęp do sieci korporacyjnej ofiary - prawdopodobnie przez spearphishing lub exploit usługi wystawionej do internetu. Z sieci korporacyjnej grupa przeszła do sieci OT, wykorzystując niewystarczającą segmentację między strefami.
Faza 2 - Rekonesans w sieci OT
Po dostaniu się do sieci OT atakujący prowadzili rozpoznanie przez długi czas - identyfikując architekturę systemu sterowania, typy kontrolerów, wersje firmware’u i topologię sieci. Kluczowym celem były kontrolery Schneider Electric Triconex serii 3008, obsługujące system SIS rafinerii.
Faza 3 - Opracowanie TRITON
Na podstawie zebranych informacji TEMP.Veles opracował (prawdopodobnie w środowisku laboratoryjnym w CNIIHM) dedykowany framework TRITON - zdolny do komunikacji z kontrolerami Triconex przez ich natywny protokół TriStation, odczytu i nadpisywania logiki bezpieczeństwa oraz manipulowania stanem kontrolera.
Faza 4 - Wdrożenie
W sierpniu 2017 roku TRITON został wdrożony w sieci rafinerii. Malware próbował zmodyfikować logikę kontrolerów SIS - prawdopodobnie w celu wyłączenia automatycznych zabezpieczeń, które w razie awarii procesu zatrzymałyby instalację i zapobiegłyby katastrofie.
Atak został wykryty przypadkowo - błąd w kodzie TRITON spowodował przejście kontrolera Triconex w tryb awaryjny (safe state), co zatrzymało produkcję i zaalarmowało operatorów. Gdyby kod działał bezbłędnie, manipulacja mogłaby pozostać niewykryta.
Dlaczego TEMP.Veles zmienia reguły gry
Przed TEMP.Veles znane cyberataki na systemy przemysłowe - Stuxnet, Industroyer, BlackEnergy - celowały w procesy produkcyjne lub dystrybucyjne. Były destrukcyjne, ale nie były bezpośrednio zaprojektowane, by narażać ludzkie życie.
TEMP.Veles przekroczył tę granicę. System SIS w rafinerii petrochemicznej istnieje po to, by w razie niebezpiecznego odchylenia parametrów procesu - ciśnienia, temperatury, poziomu substancji - natychmiast zatrzymać instalację, zanim dojdzie do wybuchu, wycieku toksycznych substancji lub pożaru. Wyłączenie SIS nie powoduje bezpośredniej katastrofy - ale usuwa ostatnią automatyczną barierę, która katastrofie zapobiega.
Analogia jest prosta: to jak odcięcie hamulców w samochodzie. Samochód dalej jedzie. Ale następna zakręt może być ostatni.
Techniki MITRE ATT&CK
MITRE ATT&CK for ICS dokumentuje techniki stosowane przez TEMP.Veles, w tym:
| Technika | ID | Opis |
|---|---|---|
| Spearphishing Attachment | T1566.001 | Prawdopodobny wektor wejściowy do sieci IT |
| Remote Services | T0886 | Ruch lateralny między strefami IT i OT |
| Program Download | T0843 | Wgrywanie zmodyfikowanej logiki do kontrolerów SIS |
| Modify Controller Tasking | T0821 | Zmiana logiki bezpieczeństwa kontrolerów Triconex |
| Safety System Alarm Suppression | Powiązane | Tłumienie alarmów systemów bezpieczeństwa |
Lekcje z operacji TEMP.Veles
Systemy bezpieczeństwa muszą być niezależne
Fakt, że TEMP.Veles zdołał dotrzeć z sieci IT do kontrolerów SIS, wskazuje na niewystarczającą izolację systemów bezpieczeństwa. Standard IEC 61511 wymaga, aby systemy SIS były niezależne od systemu sterowania podstawowego (BPCS). W praktyce wielu operatorów łączy je w jednej sieci - co atak TRITON brutalnie skompromitował.
Monitorowanie sieci OT to konieczność
Działania TEMP.Veles w sieci OT trwały miesiącami. Dedykowane narzędzia do monitorowania ruchu w sieciach przemysłowych - wykrywające anomalie w komunikacji z kontrolerami, nieautoryzowane odczyty konfiguracji, próby wgrywania nowej logiki - mogły zaalertować zespół bezpieczeństwa znacznie wcześniej.
Atrybucja ma znaczenie strategiczne
Powiązanie TEMP.Veles z państwowym instytutem badawczym Rosji oznacza, że nie mamy do czynienia z niezależną grupą przestępczą, lecz z operacją wspieraną - lub bezpośrednio prowadzoną - przez aparat państwowy. To zmienia kalkulus ryzyka dla każdego operatora infrastruktury krytycznej.
Podsumowanie
TEMP.Veles/G0088 to grupa, której sama istnienie powinno zmieniać sposób, w jaki operatorzy infrastruktury krytycznej myślą o bezpieczeństwie. Nie dlatego, że ich narzędzia są najnowocześniejsze - choć TRITON był dziełem inżynierskim wysokiej klasy. Lecz dlatego, że ich celem nie było szpiegostwo ani sabotaż produkcji. Ich celem było wyłączenie systemów, które chronią ludzi przed śmiercią.
Dla każdego, kto zarządza systemami bezpieczeństwa procesowego - w rafineriach, elektrowniach, zakładach chemicznych - TEMP.Veles to nie abstrakcyjne zagrożenie z raportu threat intelligence. To dowód, że ktoś - z zasobami państwa za plecami - aktywnie pracuje nad tym, by te systemy przestały działać.
Źródła
- TEMP.Veles, XENOTIME, Group G0088 - MITRE ATT&CK
- TRITON Attribution: Russian Government-Owned Lab Most Likely Built Custom Intrusion Tools - Mandiant
- Russian Hackers Scrambled to Erase Digital Footprints After Triton Attribution Report - SecurityWeek
- FireEye links Russia-owned lab to group behind Trisis - CyberScoop
- FireEye: Russian Research Lab Aided the Development of TRITON Industrial Malware - The Hacker News
- Triton Malware Linked to Russian Government Research Institute - SecurityWeek