TRITON / TRISIS
Qu'est-ce que TRITON / TRISIS ?
TRITON / TRISISMalware découvert en 2017 ciblant les SIS Triconex de Schneider dans une usine pétrochimique saoudienne, attribué à un acteur lié à la Russie.
TRITON (également appelé TRISIS ou HatMan) est le premier malware connu spécifiquement conçu pour attaquer un système instrumenté de sécurité (SIS). En 2017, il a été découvert sur des postes d'ingénierie d'une usine pétrochimique saoudienne, où il dialoguait avec des contrôleurs Triconex de Schneider Electric via le protocole propriétaire TriStation. Les attaquants ont téléversé une charge utile personnalisée (« inject.bin ») dans le firmware du SIS afin de reprogrammer la logique de sûreté ou de provoquer un état dangereux ; une incohérence logique a déclenché l'arrêt de sécurité de l'usine, dévoilant la campagne. Les autorités américaines ont publiquement attribué TRITON à l'institut russe TsNIIKhM. L'incident a poussé l'industrie à renforcer la séparation SIS/BPCS et à déployer des IDS dédiés au SIS.
● Exemples
- 01
Téléversement d'une charge utile malveillante via TriStation sur des contrôleurs Triconex MP3008.
- 02
Reprogrammation de la logique SIS pour qu'une condition dangereuse ne déclenche plus d'arrêt de l'usine.
● Questions fréquentes
Qu'est-ce que TRITON / TRISIS ?
Malware découvert en 2017 ciblant les SIS Triconex de Schneider dans une usine pétrochimique saoudienne, attribué à un acteur lié à la Russie. Cette notion relève de la catégorie OT / ICS / IoT en cybersécurité.
Que signifie TRITON / TRISIS ?
Malware découvert en 2017 ciblant les SIS Triconex de Schneider dans une usine pétrochimique saoudienne, attribué à un acteur lié à la Russie.
Comment fonctionne TRITON / TRISIS ?
TRITON (également appelé TRISIS ou HatMan) est le premier malware connu spécifiquement conçu pour attaquer un système instrumenté de sécurité (SIS). En 2017, il a été découvert sur des postes d'ingénierie d'une usine pétrochimique saoudienne, où il dialoguait avec des contrôleurs Triconex de Schneider Electric via le protocole propriétaire TriStation. Les attaquants ont téléversé une charge utile personnalisée (« inject.bin ») dans le firmware du SIS afin de reprogrammer la logique de sûreté ou de provoquer un état dangereux ; une incohérence logique a déclenché l'arrêt de sécurité de l'usine, dévoilant la campagne. Les autorités américaines ont publiquement attribué TRITON à l'institut russe TsNIIKhM. L'incident a poussé l'industrie à renforcer la séparation SIS/BPCS et à déployer des IDS dédiés au SIS.
Comment se défendre contre TRITON / TRISIS ?
Les défenses contre TRITON / TRISIS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de TRITON / TRISIS ?
Noms alternatifs courants : TRITON, TRISIS, HatMan.
● Termes liés
- ot-iot№ 957
Système instrumenté de sécurité (SIS)
Système de contrôle indépendant qui amène le procédé à un état sûr quand des variables franchissent des limites définies, protégeant personnes, environnement et matériels.
- ot-iot№ 529
Système de contrôle industriel (ICS)
Terme générique désignant les systèmes qui automatisent et supervisent des procédés industriels : SCADA, DCS, PLC, RTU et systèmes de sécurité.
- ot-iot№ 1111
Stuxnet
Ver très sophistiqué dévoilé en 2010 qui a saboté les centrifugeuses iraniennes d'enrichissement d'uranium en reprogrammant des PLC Siemens, attribué aux États-Unis et à Israël.
- ot-iot№ 530
Industroyer / CrashOverride
Logiciel malveillant ICS modulaire utilisé contre le réseau électrique ukrainien en 2016 et réapparu sous le nom Industroyer2 en 2022, capable de parler les protocoles natifs du réseau.
- ot-iot№ 762
Technologies Opérationnelles (OT)
Matériels et logiciels qui surveillent et pilotent des procédés physiques, équipements et infrastructures comme les usines, centrales électriques ou réseaux d'eau.
- ot-iot№ 513
IEC 62443
Famille de normes IEC sur la cybersécurité des systèmes d'automatisme et de contrôle industriel, couvrant exploitants, intégrateurs et fournisseurs de produits.