TRITON / TRISIS
¿Qué es TRITON / TRISIS?
TRITON / TRISISMalware descubierto en 2017 que atacaba sistemas instrumentados de seguridad Triconex de Schneider en una planta petroquímica saudí, atribuido a un actor vinculado a Rusia.
TRITON (también llamado TRISIS o HatMan) es el primer malware divulgado públicamente diseñado para atacar un sistema instrumentado de seguridad (SIS). En 2017 se descubrió en estaciones de ingeniería de una planta petroquímica saudí, donde interactuaba con controladores Triconex de Schneider Electric mediante el protocolo propietario TriStation. Los atacantes cargaron una carga útil personalizada («inject.bin») en el firmware del SIS para reprogramar la lógica de seguridad o forzar un estado inseguro; una incoherencia lógica provocó el disparo de los controladores y detuvo la planta, revelando la campaña. Las autoridades estadounidenses han atribuido públicamente TRITON al instituto ruso TsNIIKhM. El incidente empujó al sector a reforzar la separación SIS-BPCS y a desplegar IDS específicos para SIS.
● Ejemplos
- 01
Subida de una carga útil maliciosa por el protocolo TriStation a controladores Triconex MP3008.
- 02
Reprogramación de la lógica del SIS para que una condición insegura dejara de disparar la planta.
● Preguntas frecuentes
¿Qué es TRITON / TRISIS?
Malware descubierto en 2017 que atacaba sistemas instrumentados de seguridad Triconex de Schneider en una planta petroquímica saudí, atribuido a un actor vinculado a Rusia. Pertenece a la categoría de OT / ICS / IoT en ciberseguridad.
¿Qué significa TRITON / TRISIS?
Malware descubierto en 2017 que atacaba sistemas instrumentados de seguridad Triconex de Schneider en una planta petroquímica saudí, atribuido a un actor vinculado a Rusia.
¿Cómo funciona TRITON / TRISIS?
TRITON (también llamado TRISIS o HatMan) es el primer malware divulgado públicamente diseñado para atacar un sistema instrumentado de seguridad (SIS). En 2017 se descubrió en estaciones de ingeniería de una planta petroquímica saudí, donde interactuaba con controladores Triconex de Schneider Electric mediante el protocolo propietario TriStation. Los atacantes cargaron una carga útil personalizada («inject.bin») en el firmware del SIS para reprogramar la lógica de seguridad o forzar un estado inseguro; una incoherencia lógica provocó el disparo de los controladores y detuvo la planta, revelando la campaña. Las autoridades estadounidenses han atribuido públicamente TRITON al instituto ruso TsNIIKhM. El incidente empujó al sector a reforzar la separación SIS-BPCS y a desplegar IDS específicos para SIS.
¿Cómo defenderse de TRITON / TRISIS?
Las defensas contra TRITON / TRISIS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para TRITON / TRISIS?
Nombres alternativos comunes: TRITON, TRISIS, HatMan.
● Términos relacionados
- ot-iot№ 957
Sistema Instrumentado de Seguridad (SIS)
Sistema de control independiente que lleva el proceso a un estado seguro cuando las variables superan los límites definidos, protegiendo a personas, medio ambiente y activos.
- ot-iot№ 529
Sistema de Control Industrial (ICS)
Término que agrupa los sistemas que automatizan y supervisan procesos industriales, incluyendo SCADA, DCS, PLC, RTU y controladores de seguridad.
- ot-iot№ 1111
Stuxnet
Gusano altamente sofisticado de 2010 que saboteó centrífugas de enriquecimiento de uranio iraníes reprogramando PLC Siemens, atribuido a EE. UU. e Israel.
- ot-iot№ 530
Industroyer / CrashOverride
Malware ICS modular usado en el ataque a la red eléctrica ucraniana de 2016 y actualizado como Industroyer2 en 2022, capaz de hablar los protocolos nativos de la red.
- ot-iot№ 762
Tecnología Operativa (OT)
Hardware y software que monitorizan y controlan procesos físicos, dispositivos e infraestructuras como fábricas, centrales eléctricas y servicios públicos.
- ot-iot№ 513
IEC 62443
Familia de normas IEC sobre ciberseguridad de sistemas de automatización y control industrial, dirigida a propietarios, integradores y proveedores de producto.