Triton à l’assaut des infrastructures critiques : dans les pas des attaquants

Mi-décembre 2017, les équipes de Mandiant et de Dragos levaient le voile sur Triton, un framework conçu pour attaquer les systèmes de sûreté industrielle (SIS). Aussi appelé Trisis, ce framework doit son nom à celui des systèmes qu’il visait dans sa déclinaison initiale : ceux de la gamme Triconex de Schneider Electric, en s’appuyant sur une vulnérabilité vieille de 16 ans, mais inconnue jusqu’alors.

Aujourd’hui, les équipes de Mandiant, chez FireEye, indiquent être en cours d’intervention sur un nouvel incident impliquant Triton – et ce n’est pas le second ; il faut apparemment compter avec plusieurs autres. Dans un billet de blog, elles profitent donc de la connaissance acquise au cours de « multiples » interventions pour se plonger dans le mode opératoire des attaquants. De quoi aider à s’en protéger. Les équipes de Mandiant indiquent d’ailleurs avoir déjà utilisé cette connaissance pour débusquer une intrusion.

Le vecteur de compromission initiale n’est pas précisé. Mais pour prendre pied dans l’environnement visé, les attaquants utilisent des variantes des outils de test d’intrusion Cryptcat et Plink. De là, ils cherchent à accéder à des droits plus élevés, en récupérant des identifiants, avec Mimikatz ou SecHack. Les équipes de Mandiant ont également observé le recours à un shell Web visant l’interface Outlook Web Access.

Vient ensuite le déplacement dans l’environnement compromis et la mise en place de mécanismes de persistance. Les équipes de Mandiant soulignent un point qui peut jouer en faveur des défenseurs : « le cycle de vie d’une attaque ICS sophistiquée et ciblée se mesure souvent en année », le temps notamment de développer une connaissance fine de l’environnement considérée pour produire des outils taillés sur mesure avant de lancer l’attaque finale au moment opportun. Dans le cas de l’intervention en cours, « l’acteur était présent dans les réseaux visés depuis près d’un an avant de réussir à accéder à une station de travail d’ingénierie du SIS ».

Pour avancer en toute discrétion, les attaquants ont notamment fortement recours « à des outils standard qui pourraient reproduire des activités d’administration légitimes », « ce qui inclut un usage important de RDP et PsExec/WinRM ». Sans compter des tunnels SSH pour le transfert de leurs outils et les échanges de commandes à distance.

Au l’automne dernier, les chercheurs de FireEye estimaient « avec un haut niveau de confiance » qu’il faut aller chercher du côté de Moscou l’origine de Triton. Quelques mois plus tôt, les équipes de Dragos soulignaient que les attaquants en question, le groupe qu’il appelle Xenotime, seraient actifs depuis au moins 2014. Et que l’on ne devrait sa découverte initiale qu’à une erreur…

Pour Robert M Lee, patron de Dragos, la menace est en tout cas très sérieuse : « quelqu'un qui vise les systèmes de sûreté, ou qui entend le faire, ou seulement accepte qu'une personne le fasse, est prêt à tuer. Cela ne veut pas dire que c’est imminent, mais c’est une réalité ».