TRITON / TRISIS
Was ist TRITON / TRISIS?
TRITON / TRISIS2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet.
TRITON (auch TRISIS oder HatMan genannt) ist die erste öffentlich bekannt gewordene Schadsoftware, die speziell auf ein sicherheitsgerichtetes System (SIS) zielte. 2017 wurde sie auf Engineering-Workstations einer saudischen Petrochemieanlage gefunden, wo sie über das proprietäre TriStation-Protokoll mit Triconex-SIS-Controllern von Schneider Electric kommunizierte. Die Angreifer luden ein eigens entwickeltes Payload ("inject.bin") in die SIS-Firmware, um entweder die Sicherheitslogik zu manipulieren oder einen unsicheren Zustand auszulösen; eine Logik-Inkonsistenz veranlasste die Controller zum Notabschalten und legte die Kampagne offen. US-Behörden ordnen TRITON öffentlich dem russischen Staatsforschungsinstitut TsNIIKhM zu. Der Vorfall führte zur strikteren Trennung von SIS und BPCS und zur Einführung SIS-spezifischer Intrusion Detection.
● Beispiele
- 01
Upload eines schädlichen Payloads via TriStation-Protokoll auf Triconex-MP3008-Controller.
- 02
Umprogrammierung der SIS-Logik, damit ein unsicherer Zustand die Anlage nicht mehr abschaltet.
● Häufige Fragen
Was ist TRITON / TRISIS?
2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet. Es gehört zur Kategorie OT / ICS / IoT der Cybersicherheit.
Was bedeutet TRITON / TRISIS?
2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet.
Wie funktioniert TRITON / TRISIS?
TRITON (auch TRISIS oder HatMan genannt) ist die erste öffentlich bekannt gewordene Schadsoftware, die speziell auf ein sicherheitsgerichtetes System (SIS) zielte. 2017 wurde sie auf Engineering-Workstations einer saudischen Petrochemieanlage gefunden, wo sie über das proprietäre TriStation-Protokoll mit Triconex-SIS-Controllern von Schneider Electric kommunizierte. Die Angreifer luden ein eigens entwickeltes Payload ("inject.bin") in die SIS-Firmware, um entweder die Sicherheitslogik zu manipulieren oder einen unsicheren Zustand auszulösen; eine Logik-Inkonsistenz veranlasste die Controller zum Notabschalten und legte die Kampagne offen. US-Behörden ordnen TRITON öffentlich dem russischen Staatsforschungsinstitut TsNIIKhM zu. Der Vorfall führte zur strikteren Trennung von SIS und BPCS und zur Einführung SIS-spezifischer Intrusion Detection.
Wie schützt man sich gegen TRITON / TRISIS?
Schutzmaßnahmen gegen TRITON / TRISIS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TRITON / TRISIS?
Übliche alternative Bezeichnungen: TRITON, TRISIS, HatMan.
● Verwandte Begriffe
- ot-iot№ 957
Sicherheitsgerichtetes System (SIS)
Eigenständiges Steuerungssystem, das den Prozess in einen sicheren Zustand überführt, sobald überwachte Variablen Grenzwerte überschreiten — zum Schutz von Mensch, Umwelt und Anlage.
- ot-iot№ 529
Industrielles Steuerungssystem (ICS)
Sammelbegriff für Systeme zur Automatisierung und Überwachung industrieller Prozesse, darunter SCADA, DCS, SPS, RTU und Sicherheitssteuerungen.
- ot-iot№ 1111
Stuxnet
Hochkomplexer Wurm aus dem Jahr 2010, der durch Umprogrammierung von Siemens-SPS Irans Urananreicherungszentrifugen sabotierte und den USA und Israel zugeschrieben wird.
- ot-iot№ 530
Industroyer / CrashOverride
Modulares ICS-Malware-Framework, eingesetzt 2016 gegen das ukrainische Stromnetz und 2022 als Industroyer2 wiederaufgetaucht — spricht native Netzprotokolle.
- ot-iot№ 762
Operational Technology (OT)
Hardware und Software, die physische Prozesse, Geräte und Infrastrukturen wie Fabriken, Kraftwerke und Versorgungsunternehmen überwachen und steuern.
- ot-iot№ 513
IEC 62443
Normenfamilie der IEC zur Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme — adressiert Betreiber, Integratoren und Produkthersteller.