TRITON / TRISIS
Was ist TRITON / TRISIS?
TRITON / TRISIS2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet.
TRITON (auch TRISIS oder HatMan genannt) ist die erste öffentlich bekannt gewordene Schadsoftware, die speziell auf ein sicherheitsgerichtetes System (SIS) zielte. 2017 wurde sie auf Engineering-Workstations einer saudischen Petrochemieanlage gefunden, wo sie über das proprietäre TriStation-Protokoll mit Triconex-SIS-Controllern von Schneider Electric kommunizierte. Die Angreifer luden ein eigens entwickeltes Payload ("inject.bin") in die SIS-Firmware, um entweder die Sicherheitslogik zu manipulieren oder einen unsicheren Zustand auszulösen; eine Logik-Inkonsistenz veranlasste die Controller zum Notabschalten und legte die Kampagne offen. US-Behörden ordnen TRITON öffentlich dem russischen Staatsforschungsinstitut TsNIIKhM zu. Der Vorfall führte zur strikteren Trennung von SIS und BPCS und zur Einführung SIS-spezifischer Intrusion Detection.
● Beispiele
- 01
Upload eines schädlichen Payloads via TriStation-Protokoll auf Triconex-MP3008-Controller.
- 02
Umprogrammierung der SIS-Logik, damit ein unsicherer Zustand die Anlage nicht mehr abschaltet.
● Häufige Fragen
Was ist TRITON / TRISIS?
2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet. Es gehört zur Kategorie OT / ICS / IoT der Cybersicherheit.
Was bedeutet TRITON / TRISIS?
2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet.
Wie schützt man sich gegen TRITON / TRISIS?
Schutzmaßnahmen gegen TRITON / TRISIS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TRITON / TRISIS?
Übliche alternative Bezeichnungen: TRITON, TRISIS, HatMan.